5 月 24 日，安全研究团队 Socket 披露了代号为 TrapDoor 的重大供应链攻击事件，该事件在 npm、PyPI 和 Crates.io 三大主流包管理平台上发现了超过 34 个恶意包及 384 个相关版本。此次攻击的核心逻辑并非直接针对链上智能合约，而是精准锁定负责协议开发与维护的开发者机器及其凭证信息。攻击者通过构建一条隐蔽路径，从被入侵的开发者终端出发，进而渗透代码仓库、持续集成/持续部署管道、云账户以及部署密钥，最终掌控协议上传至主网及后续更新的全过程。这种攻击手法巧妙利用了常规开发工作流：npm 包在安装后通过后置钩子执行恶意代码，PyPI 包在导入远程 JavaScript 文件时触发操作，而 Rust 代码包则在编译阶段运行 build.rs 脚本。由于这些攻击仅需执行标准的安装、导入或构建命令，正常的开发者操作行为便直接成为了攻击入口。午方 AI 梳理发现，在任何实际运行的协议系统中，上述任一凭证信息的泄露都可能成为攻击者窃取用户资金的跳板，而现有的智能合约审计机制对此类风险几乎完全失效。

Socket 进一步指出，被盗取的 SSH 密钥可助攻击者实现横向移动，而云服务与 GitHub 账户凭证的泄露则会导致代码仓库、持续集成/持续部署系统、私有包及部署环境全面失守。更为隐蔽的是，攻击者试图在.curserrules 和 CLAUDE.md 等配置文件中植入隐藏指令，这些文件通常被 Cursor 和 Claude Code 等 AI 辅助编码工具读取以理解项目运行逻辑。植入的指令利用隐藏的 Unicode 编码技术，使 AI 辅助工作流程偏离正常轨道，进而导致秘密信息被窃取或外泄。攻击者还向与 AI 和开发者工具相关的项目提交拉取请求，试图以看似正当的标签掩盖恶意文件的真实目的。午方 AI 注意到，此类攻击专门针对那些会读取代码仓库、生成代码并根据项目文件上下文执行操作的 AI 辅助工具，一旦攻击者通过隐藏指令篡改上下文，AI 辅助流程便会异化为高效的数据窃取机制。

这种针对控制层的攻击模式已引发多起 DeFi 领域的重大损失，3 月份 Resolv 事件即为典型案例：当时部署的代码本身无漏洞，但链下基础设施和受信任密钥出现故障，最终导致 2300 万美元损失。在所有此类案例中，故障点均集中在运营层面，包括受信任的基础设施、链下系统及围绕智能合约的管理权限。若像 TrapDoor 这样的恶意包能被迅速发现——Socket 系统显示平均检测时间为 5 分 56 秒，且团队能在数据被非法访问前及时更换凭证，攻击便可在检测阶段被阻断，损失仅限于可替换的凭证信息。

然而，TrapDoor 事件已导致 DeFi 领域损失金额接近 2025 年 Immunefi 预测的 6.8 亿美元基准值，其深远影响在于加速了各加密货币团队对包依赖关系、持续集成/持续部署系统中的敏感信息及开发者环境的安全审查。

若攻击者成功获取中型或大型协议的部署者密钥、桥接验证器基础设施或管理权限，2026 年 DeFi 损失总额预计将增加 1 亿至 3 亿美元，使年度总损失逼近甚至超过 10 亿美元。

事实上，只要一台被感染的开发者机器拥有控制部署管道的 GitHub 令牌、管理桥接基础设施的云服务凭证或具备管理权限的钱包密钥，攻击者造成的破坏将远超该开发者自身资产价值。过去四年间，DeFi 行业虽建立了较为完善的智能合约安全防护体系，Immunefi 数据显示各类安全事件平均损失已从 2022 年的 600 万美元降至 2025 年的 150 万美元，表明核心合约安全机制显著改进。午方 AI 分析认为，Resolv、Drift 和 KelpDAO 等案例证明攻击者已掌握这些防护措施，转而针对传统审计无法覆盖的盲区发起进攻，包括部署者权限、桥接验证器、云服务基础设施、管理密钥、链下 RPC 接口、开发者机器、包依赖关系及 AI 辅助开发环境。

即便智能合约通过了所有规定的安全审计，若其安装后被设置后置钩子窃取部署者 GitHub 令牌，依然可能成为数据泄露源头。TrapDoor 虽为具体攻击事件，涉及恶意包数量与发现时间点明确，但其针对的攻击目标——涵盖开发者机器、包注册机构、持续集成/持续部署系统凭证、AI 辅助开发文件及云服务账户——范围已远远超出 TrapDoor 本身涉及的恶意包范畴。这一趋势标志着 DeFi 安全防御的重心正从链上代码审计向链下基础设施与开发全生命周期安全转移，任何忽视这一转变的团队都将面临前所未有的风险敞口。