Ф'ючерси
Сотні безстрокових контрактів
CFD
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
CFD
Деривативи CFD на акції
Акції США
Отримайте доступ до реальних акцій США та ETF
Акції Гонконгу
Торгуйте якісними акціями з лістингом у Гонконгу
Корейські акції
SK Hynix
Торгуйте реальними корейськими акціями та інвестуйте в популярні активи
Ф'ючерси на акції
Високе кредитне плече, торгівля 24/7
Токенізовані акції
Забезпечено реальними фондовими активами
IPO Access
Отримайте повний доступ до глобальних IPO акцій
GUSD
3.8%
Мінтіть GUSD для отримання дохідності від казначейських RWA
Активності з акціями
Торгуйте популярними акціями та відкривайте щедрі аірдропи
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Pre-IPOs
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Gate Wealth
візьміть під контроль своє фінансове майбутнє
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
GUSD
3.8%
Поповнення та викуп будь-коли, без комісії
Акції
Центр діяльності
Беріть учать та отримуйте винагороди
Реферал
200 USDT
Запрошуйте друзів та отримуйте бонуси
Партнерська програма
Ексклюзивні комісійні винагороди
Gate Booster
Зростайте та отримуйте аірдропи
Оголошення
Оновлення платформи в реальному часі
Блог Gate
Статті про криптоіндустрію
VIP послуги
Величезні знижки на комісії
Управління активами
Універсальне рішення для управління активами
Інституційний
Рішення цифрових активів для бізнесу
Розробники (API)
Підключається до екосистеми додатків Gate
Позабіржовий банківський переказ
Поповнюйте та виводьте фіат
Брокерська програма
Щедрі механізми знижок API
AI
Gate AI
Ваш універсальний AI-помічник для спілкування
Gate AI Bot
Використовуйте Gate AI безпосередньо у своєму соціальному додатку
GateClaw
Gate Блакитний Лобстер — готовий до використання
Gate for AI Agent
AI-інфраструктура, Gate MCP, Skills і CLI
Gate Skills Hub
Понад 10 000 навичок
Від офісу до трейдингу: універсальна база навичок для ефективнішої роботи з AI
Найбільші криптовалютні хакерські атаки та шахрайства 2026 року станом на сьогодні
Збитки від проблем із безпекою криптовалюти досягли $1,316 млрд за 344 інцидентами в першій половині 2026 року, за даними H1-звіту про безпеку від CertiK. Приблизно $115,3 млн було заморожено або повернуто, зменшивши скориговані збитки до близько $1,2 млрд. Ймовірне покращення порівняно з 2025 роком потребує контексту. Загальна сума за першу половину попереднього року включала винятковий витік Bybit на $1,45 млрд. Якщо виключити цей одиночний випадок, CertiK оцінює, що порівнювані збитки у 2026 році зросли приблизно на 28%. Розподіл цих збитків не менш важливий, ніж загальна сума. Середня вартість інциденту становила приблизно $3,82 млн, тоді як медіанні втрати — лише $138,703. Отже, середнє було більш ніж у 27 разів вищим за медіану, що показує: невелика кількість надзвичайних збоїв зумовила загальний результат. Лише три інциденти — Kelp DAO, Drift Protocol і цільова крадіжка шляхом фішингу на $284 млн — становили приблизно 65% усіх зареєстрованих втрат у першій половині року. Потрібно більше ніж одне число, щоб скласти рейтинг втрат Звіти про криптовалютні інциденти часто порівнюють цифри, які вимірюють різні типи шкоди.
Валова втрата
Вартість, яку було вилучено з протоколу або з боку потерпілого, до відновлень.
Реалізоване вилучення
Активи, які атакувальник фактично конвертував у передавану економічну цінність.
Чиста втрата
Сума, якої все ще бракує після заморожувань, повернень, виплат і відновлень.
Зобов’язання користувачів
Вимоги, які має платформа, і які можуть бути більшими або меншими за первинні доходи атакувальника.
Номінальна експозиція
Теоретична вартість шахрайськи випущених або поставлених під ризик активів, навіть якщо атакувальник не міг монетизувати повну суму.
Наведений нижче рейтинг переважно використовує задокументовані валові збитки. Відновлення, спірні оцінки та відмінності між надходженнями атакувальника й зобов’язаннями платформи вказуються окремо. Для інцидентів із створенням незабезпечених токенів реалізоване вилучення є більш змістовним, ніж номінальна вартість шахрайського обсягу. Інакше атакувальника, який створює $100 млн ілюквідного токена, але вилучає $1 млн реального забезпечення, можна було б помилково ранжувати як такого, що вкрав усі $100 млн. Найбільші повідомлені криптовтрати 2026 року
Заява про нещодавній інцидент з безпеки
У першій половині дня 31 січня (APAC) приблизно $40M було виведено з казначейства Step Finance. Це сталося внаслідок компрометації пристроїв нашої виконавчої команди.
Негайно після виявлення порушення ми почали працювати…
— Step☀️ (@StepFinance_) 2 лютого 2026
Раніші оцінки onchain розміщували втрату ближче до $27 млн, бо вони зосереджувалися на приблизно 261,854 SOL, які були спочатку ідентифіковані як такі, що залишили гаманці казначейства. Пізніша цифра Step включала ширшу групу уражених активів. Використання проєктом валової оцінки $40 млн із окремим повідомленням про відновлену суму дає повнішу картину, ніж вибір однієї цифри без пояснення, чому оцінки відрізняються. Фінансові наслідки атаки також можуть виходити за межі суми, перерахованої атакувальнику. Аварійне фінансування, юридичні витрати, компенсації користувачам, зупинені операції та втрачені доходи можуть зробити кінцевий вплив на бізнес більшим, ніж початкове вилучення onchain. 5. Humanity Protocol – $36 млн Humanity Protocol зазнав атаки 9 червня після того, як скомпрометований пристрій розкрив дані гаманця та приватні ключі, пов’язані з привілейованими обліковими записами проєкту. У своєму офіційному поясненні Humanity заявив, що атакувальник скопіював приватні ключі з пристрою і використав їх для виконання onchain-атаки. Проєкт також повідомив, що контракт Ethereum H token був захищений окремим clean multisig, і що його канонічний мост mainnet не було скомпрометовано.
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) 12 червня 2026
Опубліковані оцінки варіюються приблизно від $31 млн до $36 млн, частково через те, що викрадені H-токени оцінювалися за різними ринковими цінами та на різних стадіях інциденту. Більш важливою структурною проблемою було зосередження кількох привілейованих облікових даних на одному скомпрометованому ендпоінті. Улаштування multisignature забезпечує осмислений захист лише тоді, коли його ключі розділені між людьми, пристроями, локаціями та адміністративними середовищами. Кілька облікових даних, збережених на одному комп’ютері або відновлюваних із нього, можуть задовольняти поріг onchain-підпису, залишаючись при цьому одним практичним пунктом відмови. 6. Resolv Protocol – Приблизно $26,8 млн Resolv Protocol було використано 22 березня після того, як атакувальник скомпрометував його хмарну інфраструктуру та отримав доступ до ключа, контрольованого через AWS Key Management Service. Resolv використовував offchain-сервіс для авторизації створення USR після того, як користувачі внесли заставу. За даними аналізу інциденту CertiK, атакувальник зробив відносно невеликі легітимні депозити USDC, а потім використав скомпрометовану роль сервісу для авторизації приблизно 80 мільйонів USR у двох транзакціях. Контракт перевірив, що авторизація походила від схваленого сервісу. Він встановив мінімальний вихід, але не застосовував максимальну суму, пов’язану із заставою, внесеною користувачем. Щойно привілейований сервіс було скомпрометовано, атакувальник міг створювати підписи, які були криптографічно дійсними, але економічно не підкріпленими. Це не означає, що сервіси керування ключами в хмарі за своєю природою непридатні для криптовалютної інфраструктури. Більша проблема дизайну полягала в обсязі необмежених економічних повноважень, наданих одній сервісній ролі. Захищений ключ все одно може стати катастрофічною точкою відмови, коли контракт, що приймає його підписи, не забезпечує незалежно ліміти застави, стелі карбування, обмеження транзакцій або швидкість виведення коштів. 7. Truebit – $26 млн Truebit було використано 8 січня через уразливість integer-overflow у контракті bonding-curve, розгорнутому у 2021 році. Контракт було скомпільовано з Solidity 0.5.3, до того як у Solidity 0.8.0 було запроваджено автоматичний захист від overflow. Атакувальник подав надзвичайно велике значення, яке спричинило, що арифметичний розрахунок обернувся до числа, близького до нуля. Це дозволило карбувати великі обсяги TRU майже без ETH, а потім погасити їх за реальний ETH, що зберігався в контракті. Chainalysis оцінив основну втрату в $26,2 млн. CertiK розмістив сумарну величину ближче до $26,6 млн, включно з приблизно $224,000, вилученими другим атакувальником. Уразлива реалізація не була публічно верифікована в Etherscan. Це не завадило атакувальникам дослідити її. Байт-код контракту можна декомпіліювати, поведінку старого компілятора можна ідентифікувати, а підозрювані уразливості можна перевіряти через симуляції або форки блокчейну. Truebit — найчіткіше велике виключення із загальнішого патерну, який спостерігався в 2026 році. Його втрати виникли через публічну логіку виконання, а не через скомпрометовані операційні повноваження. Також це показує, чому «сплячі» контракти мають залишатися в межах аудитів, моніторингу та scope bug bounty доти, доки вони зберігають кошти або дозволи. Чому Echo Protocol не ранжується як крадіжка на $76,7 млн Echo Protocol інколи описують як такий, що зазнав втрати $76,7 млн, бо атакувальник використав скомпрометований ключ адміністратора для карбування 1,000 незабезпечених eBTC, що несло номінальну вартість. Атакувальник не вилучив $76,7 млн у реальних активах. За даними Merkle Science, 45 з шахрайських eBTC були депоновані в протокол кредитування Curvance. Атакувальник позичив приблизно 11,29 WBTC, вартістю близько $867,000, перш ніж решта 955 незабезпечених eBTC були спалені. Отже, точні цифри такі:
Класифікація повної номінальної суми як викраденої перебільшує фактичну шкоду, майже у 90 разів. Echo все одно оголює важливу проблему ризику застави. Оракул Curvance коректно розпізнав ринкову цінність, призначену eBTC, але він не міг визначити, що саме ці токени були створені без забезпечення. Цілісність ціни — це не те саме, що цілісність емісії. Протоколи кредитування, які приймають зовнішньо видані заставні активи, потребують контролів для ненормального створення пропозиції, змін у праві карбування, раптових депозитів застави, верифікації забезпечення та рівня адміністративного ризику на стороні емітента. Коректний price feed сам по собі не відповість на ці питання. Спільна причина збою — площина керування (control plane) Найбільші інциденти 2026 року не мали одного спільного вразливого коду. Вони мали спільні слабкі місця в системах, відповідальних за визначення того, що саме кодові дозволено робити. У традиційній термінології інфраструктури execution layer обробляє звичайну активність, тоді як control plane визначає дозволи, конфігурації, джерела довірених даних і виняткові дії.
Це розмежування дуже добре відображає найбільші інциденти:
Kelp: верифікатор прийняв сфабриковану версію активності у вихідному ланцюзі.
Drift: дійсні підписи передали адміністративний контроль.
Step: скомпрометовані пристрої керівництва розкрили повноваження казначейства.
Humanity: скомпрометований ендпоінт розкрив привілейовані ключі.
Resolv: скомпрометована сервісна роль створила дійсні, але економічно не підкріплені авторизації.
Echo: один ключ адміністратора міг надати необмежене право на карбування.
Truebit: виняток — арифметична помилка в legacy-коді контракту.
CertiK зафіксував 204 інциденти з вразливостями коду за першу половину року, що дало приблизно $151,6 млн збитків. Компрометації гаманців спричинили $444,5 млн лише за 33 інцидентами. Це виходить у середньому приблизно $743,000 на один інцидент з вразливістю коду та $13,5 млн на інцидент із компрометацією гаманця. У середньому компрометація гаманця була приблизно у 18 разів дорожчою. Порівняння не означає, що аудит смартконтрактів менш важливий. Воно показує, що аудит контракту, якщо виключити його підписантів, залежності від RPC, адміністративні інтерфейси, хмарні ролі та аварійні контролі, залишає значну частину фінансової системи неперевіреною. П’ять контролів, які усувають реальні збої Застосовуйте економічні обмеження після автентифікації Дійсний підпис має доводити, хто затвердив дію. Він не повинен надавати необмежені економічні повноваження. Карбування, мости, затвердження застави та виведення коштів можна обмежувати через максимальні розміри транзакцій, ролові ліміти, коефіцієнти застави, часові затримки, капи для конкретних активів і автоматичні паузи. Ці контролі можуть не зупинити компрометацію облікових даних, але можуть зупинити один скомпрометований ключ від негайного створення необмеженої відповідальності. Оцінюйте незалежність, а не кількість ключів Multisig 3-of-5 не є по-справжньому розподіленим, коли три ключі можна відновити з одного ноутбука або коли ними керують через той самий корпоративний акаунт. Настанови NIST із керування ключами підкреслюють control-и життєвого циклу, зокрема авторизацію, резервне копіювання, підзвітність, розділення обов’язків, реакцію на компрометацію та захист матеріалу для ключів. Протоколи повинні визначати, чи нібито незалежні підписанти спільно використовують пристрої, менеджери паролів, хмарні тенанти, процедури відновлення, фізичні локації або лінії звітності. Моніторте взаємозв’язки, а не лише транзакції Кожна окрема транзакція в експлойті Kelp виглядала дійсною. Помітна помилка полягала у відсутності взаємозв’язку між двома ланцюгами: rsETH було випущено в Ethereum без спалення у вихідному ланцюзі. Моніторинг мостів має постійно узгоджувати блокування, спалення, карбування та випуски через кожну релевантну мережу. Схожі перевірки інваріантів можуть порівнювати заставу, внесену проти токенів, що карбуються, резерви проти обігової пропозиції, а затверджені ліміти виведення — проти фактичних відтоків. Симулюйте адміністративний намір перед підписанням Хардверні гаманці захищають приватні ключі, але вони не можуть визначити, чи легітимний користувач схвалює зловмисну транзакцію. Адміністративні транзакції слід декодувати й симулювати в окремому середовищі перед виконанням. Підписантам потрібно бачити результуючі зміни дозволів, новоутверджені заставні активи, параметри цін, ліміти виведення, оновлення контракту та передачі власності, а не лише хеш транзакції чи непрозоре повідомлення гаманця. Тримайте legacy-контракти в межах security perimeter Контракт не стає безпечнішим лише тому, що він працював без інцидентів кілька років. Будь-яке розгортання, яке тримає активи, обробляє погашення, контролює дозволи протоколу або лишається підключеним до актуальних продуктів, має мати перевірений вихідний код, задокументовані припущення компілятора, активний моніторинг та бути включеним у програми аудитів і bug bounty. AI-асистована декомпіляція може скоротити час, потрібний атакувальникам, щоб ідентифікувати старі арифметичні, access-control або валідаційні вразливості. Захист через «таємність» стає менш ефективним, коли ці інструменти вдосконалюються. AI підсилює наявні моделі шахрайства AI не створив основні вразливості, що стояли за Kelp, Drift, Resolv чи Echo. Його більш безпосередній ефект — знизити вартість дослідження цілей, видавання себе за інших, локалізації та тривалих комунікацій. Звіт Chainalysis про криптозлочини за 2026 рік, який аналізує активність за 2025 рік, виявив, що аферні операції з ідентифікованими зв’язками з постачальниками AI-послуг були приблизно у 4,5 рази прибутковішими, ніж шахрайства без таких зв’язків. Ці докази не слід подавати як підтвердження того, що кожна вишукана атака в 2026 році використовувала AI. Вони показують, що AI-асистовані операції вже давали вищі віддачі та могли зробити масштабування кількох усталених технік простішим:
Синтетична ідентичність
Імперсонація через deepfake відео та голос.
Розширена розвідка
Дослідження цілей у соціальних і професійних мережах.
Мовна соціальна інженерія
Тривалі розмови кількома мовами.
Адаптивний фішинг
Клоновані інтерфейси та персоналізовані фішингові сторінки.
Автоматизоване дослідження вразливостей
Автоматизований аналіз контрактів і декомпільованого байткоду.
Ймовірний розвиток — це поєднання соціальних і технічних методів. Соціальна інженерія отримує облікові дані або авторизацію; наявні дозволи протоколу перетворюють цей доступ на фінансову втрату. Зміни в регуляції — відповідальність, а не механіка експлойтів Перехідний період MiCA в Європейському Союзі завершився 1 липня 2026 року. Покриті постачальники сервісів для криптоактивів загалом тепер потребують авторизації для продовження роботи в ЄС, залежно від scope регуляції та рішень національних наглядових органів. MiCA може посилити управління (governance), кастоді, операційні контролі та підзвітність. Але вона не може визначити, чи використовує міст незалежних верифікаторів, чи належним чином розділені привілейовані ключі, або чи авторизований підписант розуміє зловмисну транзакцію. Закон US GENIUS Act було підписано 18 липня 2025 року, і він встановлює федеральну рамкову базу для платіжних stablecoins. Це не загальний режим кібербезпеки для кожного моста, біржі, гаманця чи DeFi протоколу. Регуляція визначає, хто відповідальний і які запобіжники мають існувати. Інженерія безпеки визначає, чи може виконатися підроблене повідомлення, скомпрометований ключ або зловмисне схвалення до того, як ці запобіжники відреагують. На що варто звернути увагу до кінця 2026 року Фінальну картину безпеки 2026 року слід оцінювати не лише за накопиченими заголовками про загальну втрату.
Security Intelligence: ключові індикатори
Концентрація втрат
Чи кілька надзвичайних інцидентів і надалі домінують у щорічній сумі.
Площа атак
Чи компрометації гаманців, адміністративних, хмарних та інфраструктурних компонентів лишаються дорожчими, ніж експлойти коду.
Вплив з поправкою на відновлення
Скільки ще бракує після заморожувань, виплат і узгоджених повернень.
Якість атрибуції
Чи попередні зв’язки з групами, що діють за підтримки держави, підтверджені завершеними розслідуваннями.
Прийняття контролів
Чи протоколи впроваджують незалежну верифікацію, симуляцію транзакцій, розділення ключів і застосовні економічні обмеження до наступної великої атаки.
Цей рейтинг — це знімок, підготовлений 17 липня, а не фінальний запис за рік. Майже 46% 2026 року залишається позаду, і історичні цифри втрат можуть і надалі змінюватися через відновлення активів, перегляд цін токенів, нововиявлені гаманці та чіткіші розрізнення між номінальною експозицією та реалізованою крадіжкою. Докази підтримують більш вузький висновок: інциденти з найвищою цінністю дедалі частіше спрямовувалися на системи керування, що оточують смартконтракти, підписантів, пристрої, інфраструктуру RPC, привілейовані сервіси та мережі верифікації, а не лише на логіку контрактів.
Ця стаття призначена лише для освітніх цілей. Оцінки інцидентів можуть змінюватися через рух цін на активи, відновлення, переглянуту атрибуцію та відмінності між валовою експозицією, реалізованим вилученням і чистими втратами.