Фьючерсы
Доступ к сотням фьючерсов
CFD
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
CFD
Деривативы CFD на акции
Акции США
Доступ к реальным акциям США и ETF
Акции Гонконга
Торгуйте качественными акциями, котирующимися в Гонконге
Корейские акции
SK Hynix
Торгуйте реальными корейскими акциями и инвестируйте в популярные активы
Фьючерсы на акции
Высокое кредитное плечо, круглосуточная торговля
Токенизированные акции
Обеспечено реальными акциями
IPO Access
Откройте полный доступ к глобальным IPO акций
GUSD
3.8%
Создать GUSD для получения доходности казначейских RWA
Мероприятия, связанные с акциями
Торгуйте популярными акциями и получайте щедрые эирдропы
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Pre-IPOs
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
VIP-центр богатства
Планы премиального роста
Gate Wealth
Возьмите под контроль свое финансовое будущее
Количественный фонд
Лучшие стратегии
Стейкинг
Делайте стейкинг криптовалюты, чтобы заработать на продуктах PoS
Умное плечо
Плечо без риска ликвидации
GUSD
3.8%
Пополнение и погашение в любое время, без комиссии
Рекламные акции
Промоакции
Участвуйте и получайте награды
Реферал
200 USDT
Приглашайте друзей за бонусы
Партнерская программа
Эксклюзивные комиссионные
Gate Booster
Растите влияние и получайте аирдроп
Анонсы
Обновления в реальном времени
Блог Gate
Статьи о криптоиндустрии
VIP-услуги
Огромные скидки на комиссии
Управление активами
Универсальное решение для управления активами
Институциональный
Крипто-решения для бизнеса
Разработчикам (API)
Подключение к экосистеме приложений Gate
Внебиржевые банковские переводы
Ввод и вывод фиатных денег
Брокерская программа
Щедрые механизмы скидок API
AI
Gate AI
Ваш универсальный AI-ассистент для любых задач
Gate AI Bot
Используйте Gate AI прямо в вашем социальном приложении
GateClaw
Gate Синий Лобстер — готов к использованию
Gate for AI Agent
AI-инфраструктура: Gate MCP, Skills и CLI
Gate Skills Hub
Более 10 тыс навыков
От офиса до трейдинга: единая база навыков для эффективного использования ИИ
Самые крупные крипто-взломы и мошенничества 2026 года на данный момент
Потери в сфере криптобезопасности достигли $1,316 млрд по 344 инцидентам за первое полугодие 2026 года, согласно H1-отчёту CertiK по безопасности. Приблизительно $115,3 млн было заморожено или возвращено, что снизило скорректированные потери до около $1,2 млрд. Очевидное улучшение относительно 2025 года требует контекста. В прошлогодний итог за первое полугодие входил исключительный взлом Bybit на $1,45 млрд. Если исключить этот одиночный инцидент, CertiK оценивает, что в 2026 году сопоставимые потери выросли примерно на 28%. Распределение этих потерь столь же важно, как и общая сумма. Средняя стоимость инцидента составила примерно $3,82 млн, при этом медианный убыток — всего $138 703. Среднее оказалось более чем в 27 раз выше медианы, что показывает: небольшое число экстремальных провалов определило общий результат. Всего три инцидента — Kelp DAO, Drift Protocol и целевая фишинговая кража на $284 млн — составили примерно 65% всех заявленных потерь за первое полугодие. Нужен не только один показатель Отчёты об инцидентах в крипте часто сравнивают цифры, которые измеряют разные формы ущерба.
Валовая потеря
Стоимость, удалённая из протокола или у жертвы до восстановлений.
Реализованное выведение
Активы, которые атакующий успешно конвертировал в передаваемую экономическую ценность.
Чистая потеря
Сумма, которая всё ещё отсутствует после заморозок, возвратов, погашений и восстановлений.
Обязательства пользователей
Требования, которые платформа должна выплатить, и они могут быть больше или меньше исходных поступлений атакующего.
Условная подверженность
Теоретическая стоимость активов, выпущенных мошеннически или помещённых под риск, даже если атакующий не смог монетизировать всю сумму.
Ниже в основном используется валовая величина потерь. Восстановления, оспариваемые оценки и различия между поступлениями атакующего и обязательствами платформы указаны отдельно. Для инцидентов с созданием токенов без обеспечения реализованное выведение важнее номинальной стоимости мошеннического предложения. Иначе атакующий, который создаёт токенов на $100 млн с низкой ликвидностью, но выводит $1 млн реального обеспечения, может быть ошибочно ранжирован как похитивший все $100 млн. Крупнейшие заявленные криптопотери 2026 года
Заявление о недавнем инциденте по безопасности
В начале второй половины дня 31 января (APAC) примерно $40M было выведено из казначейства Step Finance. Это произошло в результате компрометации устройств нашей исполнительной команды.
Сразу после обнаружения взлома мы начали работать…
— Step☀️ (@StepFinance_) 2 февраля 2026
Ранее onchain-оценки оценивали потери ближе к $27 млн, потому что они фокусировались примерно на 261 854 SOL, изначально выявленных как выведенные из казначейских кошельков. Более поздняя цифра Step включала более широкий круг затронутых активов. Использование валовой оценки проекта в $40 млн при отдельном сообщении о восстановленной сумме даёт более полную картину, чем выбор одной цифры без объяснения, почему оценки различаются. Финансовые последствия атаки могут выходить за пределы суммы, переданной атакующему. Экстренное финансирование, юридические расходы, компенсации пользователям, прерванные операции и потерянная выручка могут сделать итоговое бизнес-влияние больше, чем первоначальный onchain-вывод. 5. Humanity Protocol – $36 млн Humanity Protocol подвергся атаке 9 июня после того, как скомпрометированное устройство раскрыло данные кошелька и приватные ключи, связанные с привилегированными аккаунтами проекта. В своём официальном объяснении Humanity сказал, что атакующий скопировал приватные ключи с устройства и использовал их для выполнения onchain-атаки. Проект также сообщил, что контракт Ethereum H-токена защищён отдельным чистым multisig, и что его канонический mainnet-бридж не был скомпрометирован.
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) 12 июня 2026
Опубликованные оценки варьируются примерно от $31 млн до $36 млн, отчасти потому что украденные H-токены оценивались по разным рыночным ценам и на разных стадиях инцидента. Более важной структурной проблемой была концентрация нескольких привилегированных учётных данных на одном скомпрометированном endpoint. Мультиподпись обеспечивает осмысленную защиту только тогда, когда её ключи разнесены между людьми, устройствами, локациями и административными средами. Несколько учётных данных, хранящихся на одном компьютере или восстанавливаемых из него, могут удовлетворить onchain-порог подписи, оставаясь при этом фактически одним пунктом практического отказа. 6. Resolv Protocol – около $26,8 млн Resolv Protocol был эксплуатирован 22 марта после того, как атакующий скомпрометировал облачную инфраструктуру и получил доступ к ключу, контролируемому через AWS Key Management Service. Resolv использовал offchain-сервис для авторизации создания USR после того, как пользователи вносили залог. Согласно анализу инцидента CertiK, атакующий сделал относительно небольшие легитимные депозиты USDC, а затем использовал скомпрометированную роль сервиса, чтобы авторизовать создание примерно 80 млн USR в рамках двух транзакций. Контракт проверил, что авторизация пришла от одобренного сервиса. Он задавал минимальный выход, но не устанавливал максимальную сумму, привязанную к внесённому пользователем залогу. После компрометации привилегированного сервиса атакующий мог создавать подписи, которые были криптографически валидны, но экономически не подкреплялись. Это не означает, что облачные сервисы управления ключами inherently неподходящи для криптоинфраструктуры. Бóльшая проблема была в объёме неограниченных экономических полномочий, выданных одной роли сервиса. Защищённый ключ всё ещё может стать катастрофической точкой отказа, когда контракт, получающий его подписи, не навязывает независимо коэффициенты залога, потолки минтинга, лимиты транзакций или скорость вывода. 7. Truebit – $26 млн Truebit был эксплуатирован 8 января из-за уязвимости целочисленного переполнения в bonding-curve контракте, развёрнутом в 2021 году. Контракт был скомпилирован с Solidity 0.5.3, до того как в Solidity 0.8.0 была введена автоматическая защита от переполнения. Атакующий подал исключительно большое значение, из-за чего арифметическое вычисление «обернулось» до числа, близкого к нулю. Это позволило чеканить большие объёмы TRU почти без ETH, а затем выкупить их обратно за реальный ETH, который хранился в контракте. Chainalysis оценил основной ущерб в $26,2 млн. CertiK оценил совокупную сумму ближе к $26,6 млн, включая примерно $224 000, выведенных вторым атакующим. Уязвимая реализация не была публично верифицирована на Etherscan. Это не помешало атакующим изучить её. Bytecode контракта можно декомпилировать, по старому поведению компилятора можно идентифицировать детали, а предполагаемые уязвимости — проверять через симуляции или форки блокчейна. Truebit — самое наглядное крупное исключение из более широкого паттерна, наблюдаемого в 2026 году. Его потеря произошла из-за публичной логики исполнения, а не из-за компрометации операционных полномочий. Он также показывает, почему «спящие» контракты должны оставаться в рамках аудита, мониторинга и bug-bounty, пока у них есть средства или разрешения. Почему Echo Protocol не попадает в рейтинг кражи на $76,7 млн Echo Protocol иногда описывают как потерявший $76,7 млн, потому что атакующий использовал скомпрометированный ключ администратора, чтобы отчеканить 1 000 необеспеченных eBTC с этим условным номиналом. Атакующий не вывел $76,7 млн в реальных активах. По данным Merkle Science, 45 из мошеннических eBTC были внесены в lending-протокол Curvance. Атакующий взял в заём примерно 11,29 WBTC на сумму около $867 000, прежде чем оставшиеся 955 необеспеченных eBTC были сожжены. Точные цифры, следовательно, такие:
Классификация всей условной суммы как украденной преувеличивает реализованный ущерб почти в 90 раз. Echo всё равно раскрывает важную проблему риска по обеспечению. Oracle Curvance корректно распознал рыночную стоимость, назначенную eBTC, но не мог определить, что именно эти токены были созданы без обеспечения. Целостность цены — это не то же самое, что целостность эмиссии. Платформам кредитования, принимающим внешне выпущенный залог, нужны механизмы контроля для аномального создания предложения, изменений в полномочиях минтинга, внезапных депозитов залога, верификации обеспечения и административного риска на уровне эмитента. Корректная цена-лента не отвечает на эти вопросы сама по себе. Общий сбой был в control plane Крупнейшие инциденты 2026 года не разделяли одну общую уязвимость в коде. Их объединяли слабости в системах, которые решают, что коду разрешено делать. В терминах традиционной инфраструктуры layer исполнения обрабатывает обычную активность, тогда как control plane определяет права, конфигурации, доверенные источники данных и исключительные действия.
Это различие очень точно ложится на крупнейшие инциденты:
Kelp: верификатор принял подделанную версию активности в исходной сети.
Drift: валидные подписи передали административный контроль.
Step: скомпрометированные устройства руководства раскрыли власть над казначейством.
Humanity: скомпрометированный endpoint раскрыл привилегированные ключи.
Resolv: скомпрометированная роль сервиса создала валидные, но экономически неподкреплённые авторизации.
Echo: один ключ администратора мог выдать неограниченные полномочия минтинга.
Truebit: исключение — арифметическая ошибка в унаследованном коде контракта.
CertiK зарегистрировал 204 инцидента с уязвимостями в коде за первое полугодие, что дало примерно $151,6 млн потерь. Компрометации кошельков привели к $444,5 млн потерь всего в 33 инцидентах. Это даёт в среднем примерно $743 000 потерь на один инцидент с уязвимостью в коде и $13,5 млн на один инцидент с компрометацией кошелька. В среднем компрометация кошелька обходилась примерно в 18 раз дороже. Это сравнение не делает аудит смарт-контрактов менее важным. Оно показывает, что аудит контракта без учёта его подписантов, зависимостей RPC, административных интерфейсов, облачных ролей и экстренных контролей оставляет существенную часть финансовой системы не протестированной. Пять контролей, которые закрывают реальные провалы Устанавливайте экономические лимиты после аутентификации Валидная подпись должна доказывать, кто одобрил действие. Она не должна выдавать неограниченные экономические полномочия. Минтинг, бриджинг, одобрение залога и выводы всё ещё можно ограничивать через максимальные размеры транзакций, скользящие лимиты, коэффициенты залога, задержки по времени, капы по конкретным активам и автоматические паузы. Эти меры могут не предотвратить компрометацию учётных данных, но они могут остановить одну скомпрометированную ключевую пару от немедленного создания неограниченной ответственности. Измеряйте независимость, а не количество ключей Мультиподпись 3 из 5 не является по-настоящему распределённой, когда три ключа можно восстановить с одного ноутбука или управлять ими через один и тот же корпоративный аккаунт. Рекомендации NIST по управлению ключами подчёркивают контроль жизненного цикла, включая авторизацию, бэкапы, подотчётность, разделение обязанностей, реакцию на компрометацию и защиту материалов для ключей. Протоколы должны определять, используют ли «якобы независимые» подписанты общие устройства, менеджеры паролей, облачные арендаторы, процедуры восстановления, физические локации или линии репортинга. Мониторьте взаимосвязи, а не только транзакции Каждая транзакция в эксплойте Kelp выглядела валидной. Измеримым провалом было отсутствие связи между двумя цепочками: rsETH был выпущен в Ethereum без того, чтобы он был сожжён в исходной цепочке. Мониторинг бриджа должен постоянно сверять блокировки, сжигания, минтинги и релизы по каждой релевантной сети. Похожие проверки инвариантов могут сравнивать внесённый залог с отчеканенными токенами, резервы с циркулирующим предложением, а одобренные лимиты вывода — с фактическими оттоками. Симулируйте административное намерение до подписи Аппаратные кошельки защищают приватные ключи, но не могут определить, одобряет ли легитимный пользователь вредоносную транзакцию. Административные транзакции должны декодироваться и симулироваться в отдельной среде до исполнения. Подписантам нужно видеть изменения прав, вновь одобренные залоговые активы, параметры ценообразования, лимиты вывода, апгрейды контрактов и передачи владения — а не только хэш транзакции или непрозрачный запрос в кошельке. Держите legacy-контракты внутри периметра безопасности Контракт не становится безопаснее только потому, что несколько лет не было инцидентов. Любое развёртывание, которое хранит активы, обрабатывает погашения, контролирует права протокола или остаётся подключённым к текущим продуктам, должно иметь верифицированный исходный код, задокументированные предположения компилятора, активный мониторинг и быть включённым в программы аудита и bug-bounty. AI-поддерживаемая декомпиляция может сократить время, которое атакующим нужно, чтобы обнаружить старые арифметические, access-control или ошибки валидации. Безопасность через «обфускацию» становится менее эффективной по мере улучшения этих инструментов. AI усиливает существующие модели мошенничества AI не создавал базовые уязвимости за Kelp, Drift, Resolv или Echo. Более непосредственный эффект — снижение стоимости исследования целей, выдачи себя за других, локализации и поддержания длительной коммуникации. Крипто-преступный отчёт Chainalysis за 2026 год, анализирующий активность 2025 года, показал, что мошеннические операции со счётными связями с поставщиками AI-сервисов были примерно в 4,5 раза прибыльнее мошенничеств без таких связей. Этот довод не следует подавать как доказательство, что всякий изощрённый взлом в 2026 году использовал AI. Он показывает, что AI-поддерживаемые операции уже давали более высокую отдачу и могли сделать несколько установившихся техник проще масштабировать:
Синтетическая идентичность
Имитация видео и голоса с помощью deepfake.
Продвинутая разведка
Исследование цели в социальных и профессиональных сетях.
Многоязычная социальная инженерия
Длительные разговоры на нескольких языках.
Адаптивный фишинг
Клонированные интерфейсы и персонализированные фишинговые страницы.
Автоматизированное исследование уязвимостей
Автоматизированный анализ контрактов и декомпилированного bytecode.
Вероятное развитие — комбинация социальных и технических методов. Социальная инженерия добывает учётные данные или авторизацию; существующие права протокола превращают этот доступ в финансовые потери. Изменения регулирования требуют подотчётности, а не пересмотра механики эксплойта Переходный период MiCA в Европейском союзе завершился 1 июля 2026 года. Подпадающие под регулирование сервис-провайдеры для криптоактивов обычно теперь должны получать разрешение, чтобы продолжать работу в ЕС, в зависимости от охвата регулирования и решений национальных надзорных органов. MiCA может усилить управление, хранение, операционные контроли и подотчётность. Но он не определяет, использует ли бридж независимых верификаторов, правильно ли разделены привилегированные ключи, или понимает ли авторизованный подписант вредоносную транзакцию. US GENIUS Act был подписан 18 июля 2025 года и создаёт федеральную рамочную основу для платёжных стейблкоинов. Это не универсальный режим кибербезопасности для каждого бриджа, биржи, кошелька или DeFi-протокола. Регулирование определяет, кто отвечает и какие меры защиты должны существовать. Инженерия безопасности определяет, сможет ли выполнить фальшивое сообщение, скомпрометированный ключ или вредоносное одобрение до того, как меры защиты отреагируют. На что смотреть до конца 2026 года Финальную картину безопасности в 2026 году нужно оценивать не только по суммарному заголовочному ущербу.
Ключевые индикаторы
Концентрация потерь
Продолжают ли несколько экстремальных инцидентов доминировать в годовой сумме.
Площадь атаки
Остаются ли более дорогими компрометации кошельков, административных действий, облака и инфраструктуры, чем эксплойты кода.
Ущерб с учётом восстановления
Сколько всё ещё не хватает после заморозок, возвратов и согласованных ретурнов.
Качество атрибуции
Подтверждаются ли предварительные связи с госспонсируемыми группами завершёнными расследованиями.
Внедрение контролей
Внедряют ли протоколы независимую верификацию, симуляцию транзакций, разделение ключей и исполнимые экономические лимиты до следующей крупной атаки.
Этот рейтинг — это снимок, подготовленный 17 июля, а не окончательная запись за год. Почти 46% 2026 года ещё впереди, и исторические цифры потерь могут продолжать меняться из‑за восстановлений активов, пересмотров цен токенов, выявления новых кошельков и более чётких различий между условной подверженностью и реализованной кражей. Данные поддерживают более узкий вывод: инциденты с наибольшей ценностью всё чаще нацеливались на control-системы вокруг смарт-контрактов, подписантов, устройств, инфраструктуры RPC, привилегированных сервисов и сетей верификации — а не только на логику контракта.
Эта статья предназначена только для образовательных целей. Оценки ущерба по инцидентам могут изменяться из‑за движений цен на активы, восстановлений, пересмотра атрибуции и различий между валовой подверженностью, реализованным выведением и чистыми потерями.