Uma cadeia de ataques silenciosa mira desenvolvedores de protocolos DeFi antes que qualquer linha de código chegue à blockchain — e o vetor de entrada são repositórios de pacotes amplamente utilizados.
O próximo grande ataque ao ecossistema de finanças descentralizadas pode não começar por uma vulnerabilidade em um contrato inteligente já publicado. Segundo divulgação da empresa de segurança Socket, datada de 24 de maio de 2025, uma operação batizada de TrapDoor identificou mais de 34 pacotes maliciosos e cerca de 384 versões relacionadas distribuídos nos repositórios npm, PyPI e Crates.io — ferramentas do dia a dia de qualquer desenvolvedor de software.
O alvo não são os usuários finais dos protocolos, mas sim as pessoas que os constroem e mantêm. Ao comprometer a máquina de um único desenvolvedor, os atacantes obtêm acesso a credenciais, chaves privadas e permissões administrativas que controlam sistemas inteiros — muito antes de qualquer código ser publicado na rede.
Segundo a CryptoSlate, o que o TrapDoor construiu é essencialmente uma rota que parte de uma única máquina comprometida e pode se propagar por toda a infraestrutura de um protocolo. A sofisticação do ataque está justamente na invisibilidade: pacotes maliciosos se disfarçam de dependências legítimas, instaladas rotineiramente durante o desenvolvimento.
Como funciona o ataque de supply chain em DeFi
O conceito por trás do TrapDoor é o que especialistas chamam de ataque à cadeia de suprimentos de software (software supply chain attack). Em vez de tentar invadir diretamente um protocolo protegido por auditorias e sistemas de monitoramento, os atacantes inserem código malicioso em pacotes que os desenvolvedores instalam voluntariamente em seus ambientes de trabalho.
Mais de 34 pacotes maliciosos foram encontrados no npm, PyPI e Crates.io — os três maiores repositórios de pacotes usados por desenvolvedores Web3 e DeFi.
Desenvolvedores de protocolos DeFi e as credenciais que controlam o acesso aos sistemas — não os usuários finais dos protocolos.
Foram identificadas cerca de 384 versões distribuídas entre os pacotes maliciosos, ampliando significativamente a superfície de exposição.
O ataque ocorre antes do deploy, tornando auditorias de contratos inteligentes ineficazes para detectar a ameaça no estágio mais crítico.
A lógica é perturbadoramente simples: se um desenvolvedor com acesso a chaves administrativas de um protocolo instala um pacote comprometido, os atacantes passam a ter visibilidade sobre tudo que acontece naquela máquina — incluindo variáveis de ambiente, arquivos de configuração e tokens de autenticação.
Por que auditorias tradicionais não bastam
O setor DeFi investe pesadamente em auditorias de contratos inteligentes. Contudo, esse modelo de segurança pressupõe que o código submetido à auditoria é íntegro. Se as credenciais de quem faz o deploy já foram comprometidas antes da publicação, toda a cadeia de confiança é quebrada — independentemente da qualidade da auditoria realizada.
A descoberta reacende o debate sobre segurança operacional (OpSec) no desenvolvimento de protocolos. Práticas como o uso de ambientes de desenvolvimento isolados, gerenciamento rigoroso de dependências e autenticação de múltiplos fatores para acesso a sistemas críticos deixam de ser recomendações e passam a ser requisitos mínimos.
Para usuários que mantêm ativos em protocolos DeFi, o risco é indireto mas real: um ataque bem-sucedido à infraestrutura de um protocolo pode resultar em drenagem de fundos ou manipulação de contratos sem que qualquer alarme convencional seja acionado. Leia também o guia completo sobre IA e phishing em criptomoedas para entender como as ameaças digitais estão evoluindo no setor.
📌 Nota editorial
A divulgação da Socket em 24 de maio de 2025 foi responsável. A empresa identificou e reportou os pacotes antes de tornar os detalhes públicos, permitindo que os repositórios afetados tomassem medidas de remoção. O episódio reforça a importância de iniciativas de segurança proativa no ecossistema cripto.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com uma hardware wallet
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Hardware Wallets e custódiaComo dispositivos de armazenamento frio protegem seus ativos mesmo quando ambientes digitais são comprometidos.
⚠️ Ataques de phishing criptoComo golpistas usam engenharia social e ferramentas automatizadas para roubar credenciais no ecossistema cripto.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.