Futuros
Acesse centenas de contratos perpétuos
CFD
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
CFD
Derivativos de CFD sobre ações
Ações dos EUA
Acesse ações e ETFs reais dos EUA
Ações de Hong Kong
Negocie ações de qualidade listadas em Hong Kong
Ações da Coreia
SK Hynix
Negocie ações da Coreia reais e invista em ativos populares
Futuros de ações
Alta alavancagem, negociação 24/7
Ações tokenizadas
Respaldado por ativos de ações reais
IPO Access
Desbloqueie o acesso completo a IPO de ações globais
GUSD
3.8%
Cunhe GUSD para rendimentos de RWA do Tesouro
Atividades de ações
Negocie ações populares e desbloqueie airdrops generosos
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Pre-IPOs
Desbloqueie o acesso completo a IPO de ações globais
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Simple Earn
Ganhe juros com tokens ociosos
Autoinvestimento
Invista automaticamente regularmente
Investimento duplo
Lucre com a volatilidade do mercado
Soft Staking
Ganhe recompensas com stakings flexíveis
Empréstimo de criptomoedas
0 Fees
Penhore uma criptomoeda para pegar outra emprestado
Centro de empréstimos
Centro de empréstimos integrado
Centro de riqueza VIP
Planos premium de crescimento de patrimônio
Gate Wealth
Assuma o controle do seu futuro financeiro
Fundo Quantitativo
Estratégias quant de alto nível
Apostar
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem Inteligente
Alavancagem sem liquidação
GUSD
3.8%
Deposite e resgate a qualquer momento, sem taxas
Promoções
Centro de atividade
Participe de atividades e ganhe recompensas
Indicação
200 USDT
Convide amigos para recompensas de ind.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Anúncio
Atualizações na plataforma em tempo real
Blog da Gate
Artigos do setor de criptomoedas
Serviços VIP
Grandes Descontos nas Taxas
Gerenciamento de ativos
Solução completa de gerenciamento de ativos
Institucional
Soluções de ativos digitais para empresas
Desenvolvedores (API)
Conecta-se ao ecossistema de aplicativos da Gate
Transferência Bancária OTC
Deposite e retire moedas fiat
Programa de corretoras
Mecanismos de grandes descontos via API
AI
Gate AI
Seu parceiro de IA conversacional para todas as horas
Gate AI Bot
Use o Gate AI diretamente no seu aplicativo social
GateClaw
Gate Blue Lobster, pronto para usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
10K+ habilidades
Do escritório à negociação: um hub completo de habilidades para turbinar o uso da IA
Maiores hacks e golpes de criptomoedas de 2026 até agora
As perdas de segurança em cripto chegaram a US$ 1,316 bilhão em 344 incidentes no primeiro semestre de 2026, segundo o relatório de segurança H1 da CertiK. Aproximadamente US$ 115,3 milhões foram congelados ou devolvidos, reduzindo a perda ajustada para cerca de US$ 1,2 bilhão. A aparente melhora em relação a 2025 precisa de contexto. O total do primeiro semestre do ano anterior incluiu o excepcional rombo de US$ 1,45 bilhão na Bybit. Depois de excluir esse único evento, a CertiK estima que perdas comparáveis aumentaram aproximadamente 28% em 2026. A distribuição dessas perdas é tão importante quanto o total. O custo médio do incidente ficou em aproximadamente US$ 3,82 milhões, enquanto a perda mediana foi de apenas US$ 138.703. Assim, a média foi mais de 27 vezes a mediana, mostrando que uma pequena quantidade de falhas extremas impulsionou o resultado geral. Três incidentes sozinhos — Kelp DAO, Drift Protocol e uma fraude de phishing direcionada de US$ 284 milhões — responderam por aproximadamente 65% de todas as perdas reportadas no primeiro semestre. Uma classificação de perdas exige mais do que um número Relatórios de incidentes cripto frequentemente comparam valores que medem diferentes formas de dano.
Perda bruta
O valor removido de um protocolo ou vítima antes de recuperações.
Extração realizada
Ativos que o atacante converteu com sucesso em valor econômico transferível.
Perda líquida
A quantia que ainda falta após congelamentos, devoluções, reembolsos e recuperações.
Passivos do usuário
Reivindicações devidas por uma plataforma, que podem ser maiores ou menores do que os ganhos originais do atacante.
Exposição nocional
O valor teórico de ativos emitidos fraudulentamente ou colocados em risco, mesmo quando o atacante não conseguiu monetizar todo o montante.
O ranking abaixo utiliza principalmente perdas brutas reportadas. Recuperações, avaliações disputadas e diferenças entre os ganhos do atacante e os passivos da plataforma são descritos separadamente. Para incidentes envolvendo criação de token sem lastro, a extração realizada é mais significativa do que o valor nominal da oferta fraudulenta. Caso contrário, um atacante que crie US$ 100 milhões de um token ilíquido, mas extraia US$ 1 milhão de um colateral real, poderia ser classificado incorretamente como tendo roubado os US$ 100 milhões inteiros. As maiores perdas cripto reportadas de 2026
Declaração sobre incidente de segurança recente
No começo da tarde de 31 de janeiro (APAC), aproximadamente $40M foi drenado do tesouro da Step Finance. Isso ocorreu como resultado de os dispositivos da nossa equipe executiva terem sido comprometidos.
Imediatamente após detectar a violação, começamos a trabalhar…
— Step☀️ (@StepFinance_) 2 de fevereiro de 2026
Estimativas onchain mais antigas colocavam a perda mais perto de US$ 27 milhões porque focavam no montante inicialmente identificado de aproximadamente 261.854 SOL deixando as carteiras do tesouro. O valor posterior da Step incluiu um grupo mais amplo de ativos afetados. Usar a estimativa bruta de US$ 40 milhões do projeto enquanto reporta separadamente o valor recuperado produz uma visão mais completa do que escolher um único número sem explicar por que as estimativas diferem. As consequências financeiras de um ataque também podem se estender além do valor transferido ao atacante. Financiamento emergencial, despesas legais, compensação aos usuários, operações interrompidas e receita perdida podem tornar o impacto de negócios final maior do que a retirada onchain inicial. 5. Humanity Protocol – US$ 36 milhões O Humanity Protocol sofreu um ataque em 9 de junho depois que um dispositivo comprometido expôs dados de carteira e chaves privadas associadas a contas privilegiadas do projeto. Em sua explicação oficial, a Humanity disse que o atacante copiou chaves privadas do dispositivo e as usou para executar o ataque onchain. O projeto também disse que o contrato do token H da Ethereum era protegido por um multisig limpo separado e que sua ponte canônica no mainnet não foi comprometida.
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) 12 de junho de 2026
Estimativas publicadas variam de aproximadamente US$ 31 milhões a US$ 36 milhões, em parte porque os tokens H roubados foram avaliados a preços de mercado diferentes e em estágios diferentes do incidente. O problema estrutural mais importante foi a concentração de múltiplas credenciais privilegiadas em um único endpoint comprometido. Uma configuração de multis assinatura só oferece proteção significativa quando suas chaves são separadas entre pessoas, dispositivos, locais e ambientes administrativos. Várias credenciais armazenadas ou recuperáveis a partir do mesmo computador podem cumprir um limite de assinatura onchain enquanto ainda funcionam como um único ponto prático de falha. 6. Resolv Protocol – Aproximadamente US$ 26,8 milhões O Resolv Protocol foi explorado em 22 de março depois que um atacante comprometeu sua infraestrutura em nuvem e obteve acesso a uma chave controlada por meio do AWS Key Management Service. A Resolv usou um serviço offchain para autorizar a criação de USR após os usuários depositarem colateral. De acordo com a análise de incidentes da CertiK, o atacante fez depósitos relativamente pequenos e legítimos de USDC e depois usou o papel de serviço comprometido para autorizar aproximadamente 80 milhões de USR em duas transações. O contrato verificou que a autorização vinha do serviço aprovado. Ele impôs um valor mínimo de saída, mas não aplicou um valor máximo vinculado ao colateral depositado pelo usuário. Assim que o serviço privilegiado foi comprometido, o atacante pôde produzir assinaturas criptograficamente válidas, mas sem suporte econômico. Isso não significa que serviços de gerenciamento de chaves na nuvem sejam inerentemente inadequados para infraestrutura de cripto. O problema maior de design foi a quantidade de autoridade econômica irrestrita concedida a um único papel de serviço. Uma chave protegida ainda pode se tornar um ponto catastrófico de falha quando o contrato que recebe suas assinaturas não impõe de forma independente proporções de colateral, tetos de emissão, limites de transação ou velocidade de saque. 7. Truebit – US$ 26 milhões O Truebit foi explorado em 8 de janeiro por meio de uma vulnerabilidade de integer-overflow em um contrato de bonding-curve implantado em 2021. O contrato havia sido compilado com Solidity 0.5.3, antes de a proteção automática contra overflow ser introduzida no Solidity 0.8.0. Um atacante forneceu um valor excepcionalmente grande que fez um cálculo aritmético “dar a volta” e retornar para um número próximo de zero. Isso permitiu cunhar grandes quantidades de TRU por quase nenhum ETH e depois resgatá-las por ETH real mantido pelo contrato. A Chainalysis estimou a perda principal em US$ 26,2 milhões. A CertiK colocou a quantia combinada mais perto de US$ 26,6 milhões, incluindo aproximadamente US$ 224.000 extraídos por um segundo atacante. A implementação vulnerável não havia sido verificada publicamente no Etherscan. Isso não impediu que atacantes a analisassem. Bytecode do contrato pode ser decompilado, o comportamento de compiladores antigos pode ser identificado, e vulnerabilidades suspeitas podem ser testadas por simulações ou forks de blockchain. O Truebit é a exceção mais clara ao padrão mais amplo observado em 2026. A perda veio de lógica de execução pública, e não de autoridade operacional comprometida. Ele também mostra por que contratos “adormecidos” precisam permanecer dentro dos escopos de auditoria, monitoramento e bug-bounty enquanto ainda detiverem fundos ou permissões. Por que o Echo Protocol não entra no ranking como um roubo de US$ 76,7 milhões O Echo Protocol às vezes é descrito como tendo sofrido uma perda de US$ 76,7 milhões porque um atacante usou uma chave administrativa comprometida para cunhar 1.000 eBTC sem lastro com esse valor nocional. O atacante não extraiu US$ 76,7 milhões em ativos reais. De acordo com a Merkle Science, 45 dos eBTC fraudulentos foram depositados no protocolo de empréstimos Curvance. O atacante tomou emprestado aproximadamente 11,29 WBTC, no valor de cerca de US$ 867.000, antes de os 955 eBTC sem lastro restantes serem queimados. As figuras corretas são, portanto:
Classificar todo o montante nocional como roubado exageraria o dano realizado em quase 90 vezes. O Echo ainda expõe um problema importante de risco de colateral. O oracle da Curvance reconheceu corretamente o valor de mercado atribuído aos eBTC, mas não conseguiu determinar que aqueles tokens específicos haviam sido criados sem lastro. Integridade de preço não é a mesma coisa que integridade de emissão. Protocolos de empréstimo que aceitam colateral emitido externamente precisam de controles para criação anormal de oferta, mudanças na autoridade de cunhagem, depósitos súbitos de colateral, verificação de lastro e risco administrativo no nível do emissor. Um feed de preço correto não responde a essas perguntas por si só. A falha comum foi o plano de controle Os maiores incidentes de 2026 não compartilhavam uma única vulnerabilidade de código. Eles compartilhavam fraquezas nos sistemas responsáveis por decidir o que o código estava autorizado a fazer. Em terminologia tradicional de infraestrutura, a camada de execução processa atividades comuns, enquanto o plano de controle determina permissões, configurações, fontes confiáveis de dados e ações excepcionais.
Essa distinção se mapeia bem para os maiores incidentes:
Kelp: Um verificador aceitou uma versão fabricada da atividade da cadeia de origem.
Drift: Assinaturas válidas transferiram controle administrativo.
Step: Dispositivos executivos comprometidos expuseram autoridade do tesouro.
Humanity: Um endpoint comprometido expôs chaves privilegiadas.
Resolv: Um papel de serviço comprometido criou autorizações válidas, mas sem suporte econômico.
Echo: Uma chave administrativa poderia conceder autoridade de cunhagem sem limite.
Truebit: A exceção foi uma falha aritmética no código legado do contrato.
A CertiK registrou 204 incidentes de vulnerabilidade de código no primeiro semestre do ano, gerando aproximadamente US$ 151,6 milhões em perdas. Compromissos de carteira causaram US$ 444,5 milhões em apenas 33 incidentes. Isso dá uma média de aproximadamente US$ 743.000 por incidente de vulnerabilidade de código e US$ 13,5 milhões por incidente de comprometimento de carteira. Em média, um comprometimento de carteira foi cerca de 18 vezes mais caro. A comparação não torna auditorias de contratos inteligentes menos importantes. Ela mostra que auditar o contrato, excluindo seus signatários, dependências de RPC, interfaces administrativas, funções na nuvem e controles de emergência, deixa uma parte substancial do sistema financeiro sem testes. Cinco controles que endereçam as falhas reais Imponha limites econômicos após autenticação Uma assinatura válida deve provar quem aprovou uma ação. Ela não deve conceder autoridade econômica ilimitada. Cunhagem, bridging, aprovação de colateral e saques ainda podem ser restringidos por meio de tamanhos máximos de transação, limites rotativos, proporções de colateral, atrasos de tempo, tetos por ativo e pausas automáticas. Esses controles podem não impedir um comprometimento de credencial, mas podem impedir que uma única chave comprometida crie imediatamente uma responsabilidade ilimitada. Meça independência, não apenas o número de chaves Um multisig 3-of-5 não é distribuído de forma relevante quando três chaves podem ser recuperadas de um único laptop ou controladas via a mesma conta corporativa. A orientação de gerenciamento de chaves do NIST enfatiza controles de ciclo de vida, incluindo autorização, backup, responsabilização, separação de funções, resposta a comprometimento e proteção do material de geração de chaves. Protocolos devem identificar se supostos signatários independentes compartilham dispositivos, gerenciadores de senha, tenants na nuvem, procedimentos de recuperação, locais físicos ou linhas de reporte. Monitore relacionamentos, não apenas transações Cada transação individual no exploit da Kelp pareceu válida. A falha detectável foi a ausência de relação entre as duas cadeias: rsETH foi liberado no Ethereum sem ser queimado na cadeia de origem. O monitoramento de bridges deve conciliar continuamente travas, queimas, mints e liberações em toda rede relevante. Checagens de invariantes semelhantes podem comparar colateral depositado vs. tokens cunhados, reservas vs. oferta em circulação e limites de saque aprovados vs. saídas reais. Simule intenção administrativa antes de assinar Carteiras de hardware protegem chaves privadas, mas não conseguem determinar se um usuário legítimo está aprovando uma transação maliciosa. Transações administrativas devem ser decodificadas e simuladas em um ambiente separado antes da execução. Os signatários precisam ver as mudanças de permissão resultantes, novos ativos de colateral aprovados, parâmetros de preço, limites de saque, upgrades de contrato e transferências de propriedade — não apenas um hash de transação ou um prompt opaco de carteira. Mantenha contratos legados dentro do perímetro de segurança Um contrato não fica mais seguro apenas porque operou sem incidentes por vários anos. Qualquer implantação que detenha ativos, processe resgates, controle permissões do protocolo ou permaneça conectada a produtos atuais deve ter código-fonte verificado, premissas de compilador documentadas, monitoramento ativo e inclusão em programas de auditoria e bug-bounty. A IA está amplificando modelos existentes de fraude A IA não criou as vulnerabilidades centrais por trás de Kelp, Drift, Resolv ou Echo. Seu efeito mais imediato é reduzir o custo de pesquisa de alvo, personificação, localização e comunicação sustentada. O Crypto Crime Report de 2026 da Chainalysis, que analisa a atividade de 2025, encontrou que operações de scam com links identificáveis para provedores de serviços de IA foram aproximadamente 4,5 vezes mais lucrativas do que scams sem esses links. Essa evidência não deve ser apresentada como prova de que todo ataque sofisticado em 2026 usou IA. Ela mostra que operações com apoio de IA já estavam produzindo retornos maiores e podiam facilitar a escala de várias técnicas estabelecidas:
Identidade Sintética
Impersonificação de vídeo e voz com deepfake.
Reconhecimento Avançado
Pesquisa de alvos em redes sociais e profissionais.
Engenharia Social Multilíngue
Conversas longas em vários idiomas.
Phishing Adaptativo
Interfaces clonadas e páginas de phishing personalizadas.
Pesquisa Automatizada de Vulnerabilidades
Análise automatizada de contratos e de bytecode decompilado.
O desenvolvimento provável é uma combinação de métodos sociais e técnicos. Engenharia social obtém a credencial ou autorização; permissões existentes do protocolo convertem esse acesso em uma perda financeira. Mudanças regulatórias ampliam a responsabilização, não a mecânica do exploit O período de transição do MiCA da União Europeia terminou em 1º de julho de 2026. Provedores de serviços de criptoativos abrangidos geralmente agora precisam de autorização para continuar operando na UE, sujeito ao escopo da regulação e às decisões de supervisão nacionais. O MiCA pode fortalecer governança, custódia, controles operacionais e responsabilização. Ele não consegue determinar se uma ponte usa verificadores independentes, se chaves privilegiadas estão devidamente separadas ou se um signatário autorizado entende uma transação maliciosa. A lei US GENIUS Act foi sancionada em 18 de julho de 2025 e estabelece um arcabouço federal para stablecoins de pagamentos. Ela não é um regime geral de cibersegurança para toda ponte, exchange, carteira ou protocolo DeFi. A regulação determina quem é responsável e quais salvaguardas devem existir. A engenharia de segurança determina se uma mensagem forjada, uma chave comprometida ou uma aprovação maliciosa pode executar antes que essas salvaguardas respondam. O que observar no restante de 2026 O quadro final de segurança de 2026 deve ser julgado além da perda agregada de manchetes.
Segurança Inteligência: indicadores-chave
Concentração de perdas
Se alguns incidentes extremos continuam dominando o total anual.
Superfície de ataque
Se compromissos de carteira, administrativos, de nuvem e de infraestrutura permanecem mais custosos do que exploits de código.
Dano ajustado por recuperação
Quanto ainda falta depois de congelamentos, reembolsos e devoluções negociadas.
Qualidade da atribuição
Se ligações preliminares a grupos patrocinados por Estado são sustentadas por investigações concluídas.
Adoção de controles
Se os protocolos introduzem verificação independente, simulação de transações, separação de chaves e limites econômicos aplicáveis antes do próximo grande ataque.
Esse ranking é um retrato preparado em 17 de julho, e não um registro final do ano. Quase 46% de 2026 ainda restam, e valores históricos de perdas podem continuar mudando com recuperações de ativos, revisões de preço de tokens, identificação de novas carteiras e distinções mais claras entre exposição nocional e roubo realizado. As evidências sustentam uma conclusão mais restrita: incidentes de maior valor estão cada vez mais mirando os sistemas de controle ao redor de contratos inteligentes, signatários, dispositivos, infraestrutura de RPC, serviços privilegiados e redes de verificação — e não apenas a lógica do contrato.
Este artigo é apenas para fins educacionais. Valorações de incidentes podem mudar por movimentos de preço dos ativos, recuperações, atribuições revisadas e diferenças entre exposição bruta, extração realizada e perdas líquidas.