Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
CFD
Produits dérivés CFD sur actions
US Stocks
Accédez à de véritables actions et ETF américains
HK Stocks
Tradez des actions des actions de qualité cotées à Hong Kong
Actions coréennes
SK Hynix
Tradez de véritables actions coréennes et investissez dans les actifs les plus populaires
Futures sur actions
Effet de levier élevé, trading 24h/24 et 7j/7
Actions tokenisées
Adossé à de véritables actions
IPO Access
Accédez à l'intégralité des introductions en bourse mondiales
GUSD
3.8 %
Mint GUSD pour des rendements de Treasury RWA
Activités boursières
Tradez des actions populaires et débloquez des airdrops généreux
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
200 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
Plus grands piratages et arnaques crypto de 2026 à ce jour
Les pertes liées à la sécurité crypto ont atteint 1,316 milliard de dollars sur 344 incidents au cours du premier semestre 2026, selon le rapport de sécurité H1 de CertiK. Environ 115,3 millions de dollars ont été gelés ou restitués, ce qui réduit la perte ajustée à environ 1,2 milliard. L’amélioration apparente par rapport à 2025 a besoin de contexte. Le total du premier semestre de l’année précédente incluait l’exceptionnel piratage Bybit de 1,45 milliard de dollars. Une fois ce seul événement exclu, CertiK estime que des pertes comparables ont augmenté d’environ 28% en 2026. La répartition de ces pertes est tout aussi importante que le total. Le coût moyen d’un incident était d’environ 3,82 millions de dollars, tandis que la perte médiane n’était que de 138 703 dollars. La moyenne dépasse donc la médiane de plus de 27 fois, montrant qu’un petit nombre d’échecs extrêmes a entraîné le résultat global. Trois incidents à eux seuls, Kelp DAO, Drift Protocol et un vol d’hameçonnage ciblé de 284 millions de dollars, ont représenté environ 65% de toutes les pertes déclarées sur le premier semestre. Un classement des pertes exige plus d’un seul chiffre Les rapports d’incidents crypto comparent souvent des chiffres qui mesurent différentes formes de dommages.
Pertes brutes
La valeur retirée d’un protocole ou d’une victime avant les récupérations.
Extraction réalisée
Les actifs que l’attaquant a convertis avec succès en valeur économique transférable.
Perte nette
Le montant encore manquant après gels, retours, remboursements et récupérations.
Passifs utilisateurs
Les créances dues par une plateforme, qui peuvent être plus grandes ou plus petites que les gains initiaux de l’attaquant.
Exposition notionnelle
La valeur théorique d’actifs frauduleusement émis ou placés en risque, même lorsque l’attaquant n’a pas pu monétiser l’intégralité du montant.
Le classement ci-dessous utilise principalement les pertes brutes déclarées. Les récupérations, les valorisations contestées et les écarts entre les produits de l’attaquant et les passifs de la plateforme sont indiqués séparément. Pour les incidents impliquant la création de tokens non adossés, l’extraction réalisée est plus significative que la valeur nominale de l’offre frauduleuse. Sinon, un attaquant qui crée 100 millions de dollars d’un token illiquide mais extrait 1 million de dollars de collatéral réel pourrait être classé à tort comme ayant volé l’intégralité des 100 millions. Les plus grosses pertes crypto déclarées de 2026
Déclaration à propos de l’incident de sécurité récent
Dans l’après-midi du 31 janvier (APAC), environ $40M a été vidés de la trésorerie de Step Finance. C’était la conséquence de la compromission des appareils de notre équipe exécutive.
Immédiatement après avoir détecté la faille, nous avons commencé à travailler…
— Step☀️ (@StepFinance_) 2 février 2026
Des estimations onchain antérieures plaçaient la perte plus près de 27 millions de dollars, car elles se concentraient sur les environ 261 854 SOL initialement identifiés comme ayant quitté les portefeuilles de trésorerie. Le chiffre ultérieur de Step incluait un groupe plus large d’actifs touchés. Utiliser l’estimation brute de 40 millions de dollars du projet tout en déclarant séparément le montant récupéré donne une image plus complète que le choix d’un seul chiffre sans expliquer pourquoi les estimations diffèrent. Les conséquences financières d’une attaque peuvent aussi s’étendre au-delà du montant transféré à l’attaquant. Un financement d’urgence, des frais juridiques, une compensation des utilisateurs, des opérations interrompues et une perte de revenus peuvent rendre l’impact final plus important que le retrait onchain initial. 5. Humanity Protocol – 36 millions Humanity Protocol a subi une attaque le 9 juin après qu’un appareil compromis a exposé des données de portefeuille et des clés privées associées à des comptes de projet privilégiés. Dans sa présentation officielle, Humanity a déclaré que l’attaquant avait copié des clés privées depuis l’appareil et les avait utilisées pour exécuter l’attaque onchain. Le projet a également indiqué que le contrat du token H sur Ethereum était protégé par un clean multisig séparé et que son pont canonique vers le mainnet n’avait pas été compromis.
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) 12 juin 2026
Les estimations publiées varient d’environ 31 millions à 36 millions de dollars, en partie parce que les tokens H volés ont été valorisés à des prix de marché différents et à des stades différents de l’incident. Le problème structurel le plus important était la concentration de plusieurs identifiants privilégiés sur un seul point d’extrémité compromis. Un arrangement à multisignature n’apporte une protection significative que lorsque ses clés sont séparées entre des personnes, des appareils, des lieux et des environnements administratifs. Plusieurs identifiants stockés sur le même ordinateur compromis, ou récupérables depuis celui-ci, peuvent satisfaire un seuil de signature onchain tout en fonctionnant comme un seul point de défaillance pratique. 6. Resolv Protocol – environ 26,8 millions de dollars Resolv Protocol a été exploité le 22 mars après qu’un attaquant ait compromis son infrastructure cloud et obtenu l’accès à une clé contrôlée via AWS Key Management Service. Resolv a utilisé un service hors chaîne pour autoriser la création de USR après que les utilisateurs aient déposé du collatéral. D’après l’analyse d’incident de CertiK, l’attaquant a effectué relativement de petits dépôts légitimes de USDC puis a utilisé le rôle de service compromis pour autoriser environ 80 millions de USR sur deux transactions. Le contrat a vérifié que l’autorisation provenait du service approuvé. Il imposait une sortie minimale mais n’a pas appliqué de montant maximal lié au collatéral déposé par l’utilisateur. Une fois le service privilégié compromis, l’attaquant pouvait produire des signatures valides cryptographiquement mais non soutenues économiquement. Cela ne signifie pas que les services de gestion de clés cloud sont intrinsèquement inadaptés à l’infrastructure crypto. Le problème de conception plus large était le niveau d’autorité économique non restreinte accordée à un seul rôle de service. Une clé protégée peut encore devenir un point de défaillance catastrophique lorsque le contrat qui reçoit ses signatures n’applique pas indépendamment des ratios de collatéral, des plafonds de minting, des limites de transaction, ou une vitesse de retrait. 7. Truebit – 26 millions Truebit a été exploité le 8 janvier via une vulnérabilité de dépassement d’entier dans un contrat de bonding-curve déployé en 2021. Le contrat avait été compilé avec Solidity 0.5.3, avant l’introduction de la protection automatique contre les dépassements dans Solidity 0.8.0. Un attaquant a fourni une valeur exceptionnellement grande qui a provoqué un retour arithmétique vers un nombre proche de zéro. Cela a permis de créer de grandes quantités de TRU pour presque pas d’ETH, puis de les racheter contre de vrais ETH détenus par le contrat. Chainalysis a estimé la perte principale à 26,2 millions de dollars. CertiK a placé le montant combiné plus près de 26,6 millions de dollars, en incluant environ 224 000 dollars extraits par un second attaquant. L’implémentation vulnérable n’avait pas été vérifiée publiquement sur Etherscan. Cela n’a pas empêché les attaquants de l’examiner. Le bytecode d’un contrat peut être décompilé, le comportement de l’ancien compilateur peut être identifié, et les vulnérabilités suspectées peuvent être testées via des simulations ou des forks de blockchain. Truebit est la exception majeure la plus claire au schéma plus large observé en 2026. Sa perte provient d’une logique d’exécution publique plutôt que d’une autorité opérationnelle compromise. Cela montre aussi pourquoi les contrats inactifs doivent rester dans le périmètre d’audit, de monitoring et des bug-bounties aussi longtemps qu’ils conservent des fonds ou des permissions. Pourquoi Echo Protocol ne se classe pas comme un vol de 76,7 millions de dollars Echo Protocol est parfois décrit comme ayant subi une perte de 76,7 millions de dollars parce qu’un attaquant a utilisé une clé administrateur compromise pour frapper 1 000 eBTC non adossés portant cette valeur notionnelle. L’attaquant n’a pas extrait 76,7 millions de dollars d’actifs réels. D’après Merkle Science, 45 des eBTC frauduleux ont été déposés dans le protocole de prêt Curvance. L’attaquant a emprunté environ 11,29 WBTC, d’une valeur d’environ 867 000 dollars, avant que les 955 eBTC non adossés restants ne soient brûlés. Les chiffres exacts sont donc :
Classer l’intégralité du montant notionnel comme volé exagérerait le dommage réalisé d’environ 90 fois. Echo révèle toutefois un problème important de risque de collatéral. L’oracle de Curvance a correctement reconnu la valeur de marché attribuée aux eBTC, mais il ne pouvait pas déterminer que ces tokens précis avaient été créés sans adossement. L’intégrité du prix n’est pas la même chose que l’intégrité de l’émission. Les protocoles de prêt qui acceptent comme collatéral des actifs émis en externe ont besoin de contrôles pour la création anormale d’offre, les changements de l’autorité d’émission, les dépôts soudains de collatéral, la vérification de l’adossement et le risque administratif au niveau de l’émetteur. Un flux de prix correct ne peut pas répondre à ces questions à lui seul. La défaillance commune était le plan de contrôle Les plus grands incidents de 2026 ne partagent pas une seule vulnérabilité de code. Ils partagent des faiblesses dans les systèmes responsables de décider ce que le code était autorisé à faire. Dans la terminologie d’infrastructure traditionnelle, la couche d’exécution traite l’activité ordinaire, tandis que le plan de contrôle détermine les permissions, les configurations, les sources de données de confiance et les actions exceptionnelles.
Cette distinction correspond étroitement aux plus grands incidents :
Kelp : un vérificateur a accepté une version fabriquée de l’activité de la chaîne source.
Drift : des signatures valides ont transféré le contrôle administratif.
Step : des appareils exécutifs compromis ont exposé l’autorité de trésorerie.
Humanity : un point d’extrémité compromis a exposé des clés privilégiées.
Resolv : un rôle de service compromis a créé des autorisations valides mais non soutenues économiquement.
Echo : une clé administrateur pouvait accorder une autorité de minting sans plafond.
Truebit : l’exception était un défaut arithmétique dans le code de contrat historique.
CertiK a recensé 204 incidents liés à des vulnérabilités de code au cours du premier semestre, ce qui a produit environ 151,6 millions de dollars de pertes. Les compromissions de portefeuilles ont causé 444,5 millions de dollars sur seulement 33 incidents. Cela revient à une moyenne d’environ 743 000 dollars par incident de vulnérabilité de code et de 13,5 millions de dollars par incident de compromission de portefeuille. En moyenne, une compromission de portefeuille coûtait environ 18 fois plus cher. La comparaison ne rend pas moins importantes les audits de smart contracts. Elle montre qu’auditer le contrat en excluant ses signataires, ses dépendances RPC, ses interfaces administratives, ses rôles cloud et ses contrôles d’urgence laisse une part substantielle du système financier non testée. Cinq contrôles qui traitent les défaillances réelles Imposer des limites économiques après l’authentification Une signature valide doit prouver qui a approuvé une action. Elle ne doit pas accorder une autorité économique illimitée. Le minting, le bridging, l’approbation du collatéral et les retraits peuvent encore être restreints via des tailles de transaction maximales, des limites glissantes, des ratios de collatéral, des délais, des plafonds spécifiques d’actifs et des pauses automatiques. Ces contrôles peuvent ne pas empêcher une compromission d’identifiants, mais ils peuvent empêcher qu’une seule clé compromise crée immédiatement une responsabilité illimitée. Mesurer l’indépendance, pas seulement le nombre de clés Un multisig 3-de-5 n’est pas significativement distribué lorsque trois clés peuvent être récupérées depuis un seul ordinateur portable ou contrôlées via le même compte d’entreprise. La guidance de gestion des clés du NIST met l’accent sur des contrôles de cycle de vie incluant l’autorisation, la sauvegarde, la responsabilisation, la séparation des tâches, la réponse en cas de compromission, et la protection du matériel de keying. Les protocoles doivent identifier si des signataires supposés indépendants partagent des appareils, des gestionnaires de mots de passe, des locataires cloud, des procédures de récupération, des lieux physiques, ou des lignes de reporting. Surveiller les relations, pas uniquement les transactions Chaque transaction individuelle dans l’exploit de Kelp semblait valide. La défaillance détectable était l’absence de relation entre les deux chaînes : les rsETH ont été libérés sur Ethereum sans être brûlés sur la chaîne source. Le monitoring des ponts doit rapprocher en continu les locks, burns, mints et releases sur chaque réseau pertinent. Des contrôles d’invariants similaires peuvent comparer le collatéral déposé aux tokens frappés, les réserves à l’offre en circulation, et les limites de retrait approuvées aux sorties réelles. Simuler l’intention administrative avant de signer Les portefeuilles matériels protègent les clés privées, mais ils ne peuvent pas déterminer si un utilisateur légitime approuve une transaction malveillante. Les transactions administratives doivent être décodées et simulées dans un environnement séparé avant l’exécution. Les signataires doivent voir les changements de permission résultants, les nouveaux actifs de collatéral approuvés, les paramètres de tarification, les limites de retrait, les mises à niveau du contrat et les transferts de propriété, pas seulement un hash de transaction ou une invite de portefeuille opaque. Garder les contrats historiques dans le périmètre de sécurité Un contrat ne devient pas plus sûr parce qu’il a fonctionné sans incident pendant plusieurs années. Tout déploiement qui détient des actifs, traite des rachats, contrôle les permissions du protocole, ou reste connecté à des produits actuels doit avoir un code source vérifié, des hypothèses de compilation documentées, un monitoring actif, et une inclusion dans les programmes d’audit et de bug-bounty. La décompilation assistée par IA peut réduire le temps dont les attaquants ont besoin pour identifier de vieilles failles d’arithmétique, de contrôle d’accès ou de validation. La sécurité par l’obscurité devient moins efficace à mesure que ces outils s’améliorent. L’IA amplifie des modèles de fraude existants L’IA n’a pas créé les vulnérabilités de base derrière Kelp, Drift, Resolv ou Echo. Son effet plus immédiat est de réduire le coût de la recherche de cibles, de l’usurpation, de la localisation et de la communication continue. Le rapport 2026 sur le crime crypto de Chainalysis, qui analyse l’activité 2025, a révélé que les opérations d’arnaque avec des liens identifiables à des fournisseurs de services IA étaient environ 4,5 fois plus rentables que celles sans ces liens. Cette preuve ne doit pas être présentée comme un argument que chaque attaque sophistiquée en 2026 a utilisé l’IA. Elle montre que les opérations assistées par IA généraient déjà des rendements plus élevés et pouvaient rendre plusieurs techniques établies plus faciles à mettre à l’échelle :
Identité synthétique
Imitation par deepfake de vidéo et de voix.
Reconnaissance avancée
Recherche de cibles à travers des réseaux sociaux et professionnels.
Ingénierie sociale multilingue
Conversations longues durée dans plusieurs langues.
Hameçonnage adaptatif
Interfaces clonées et pages d’hameçonnage personnalisées.
Recherche automatisée de vulnérabilités
Analyse automatisée des contrats et du bytecode décompilé.
Le développement probable est une combinaison de méthodes sociales et techniques. L’ingénierie sociale obtient l’identifiant ou l’autorisation ; les permissions existantes du protocole transforment cet accès en perte financière. Les changements de réglementation : responsabilité, pas mécanique d’exploit La période transitoire MiCA de l’Union européenne s’est achevée le 1er juillet 2026. Les fournisseurs de services d’actifs crypto couverts nécessitent généralement désormais une autorisation pour continuer d’opérer dans l’UE, sous réserve du champ d’application de la réglementation et des décisions de supervision nationales. MiCA peut renforcer la gouvernance, la garde, les contrôles opérationnels et la responsabilisation. Elle ne peut pas déterminer si un pont utilise des vérificateurs indépendants, si des clés privilégiées sont correctement séparées, ou si un signataire autorisé comprend une transaction malveillante. La loi US GENIUS Act a été promulguée le 18 juillet 2025 et établit un cadre fédéral pour les stablecoins de paiement. Ce n’est pas un régime général de cybersécurité pour chaque pont, échange, portefeuille ou protocole DeFi. La réglementation détermine qui est responsable et quels garde-fous doivent exister. L’ingénierie de sécurité détermine si un message forgé, une clé compromise ou une approbation malveillante peut exécuter avant que ces garde-fous ne répondent. Ce qu’il faut surveiller le reste de 2026 Le tableau final de la sécurité en 2026 devrait être jugé au-delà de la perte cumulée mise en avant dans les gros titres.
Intelligence de sécurité : indicateurs clés
Concentration des pertes
Si quelques incidents extrêmes continuent de dominer le total annuel.
Surface d’attaque
Si les compromissions de portefeuilles, administratives, cloud et d’infrastructure restent plus coûteuses que les exploits de code.
Dommages ajustés des récupérations
Combien reste manquant après les gels, les remboursements et les retours négociés.
Qualité de l’attribution
Si des liens préliminaires vers des groupes sponsorisés par des États sont confirmés par des enquêtes terminées.
Adoption des contrôles
Si les protocoles introduisent des vérifications indépendantes, la simulation des transactions, la séparation des clés et des limites économiques opposables avant le prochain grand incident.
Ce classement est un instantané préparé le 17 juillet, pas un enregistrement final de l’année. Près de 46% de 2026 reste à venir, et les chiffres historiques de pertes peuvent continuer à changer avec les récupérations d’actifs, les révisions de prix des tokens, la découverte de nouveaux portefeuilles, et des distinctions plus claires entre exposition notionnelle et vol réalisé. Les preuves soutiennent une conclusion plus étroite : les incidents à plus forte valeur ciblent de plus en plus les systèmes de contrôle autour des smart contracts, des signataires, des appareils, de l’infrastructure RPC, des services privilégiés et des réseaux de vérification, plutôt que la logique du contrat seule.
Cet article est fourni à des fins éducatives uniquement. Les valorisations des incidents peuvent évoluer en raison des mouvements de prix des actifs, des récupérations, des attributions révisées et des différences entre l’exposition brute, l’extraction réalisée et les pertes nettes.