Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
CFD
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
CFD
Phái sinh Hợp đồng Chênh lệch Cổ phiếu
Cổ phiếu Hoa Kỳ
Tiếp cận cổ phiếu và quỹ ETF thực của Hoa Kỳ
Cổ phiếu Hongkong
Giao dịch cổ phiếu chất lượng được niêm yết tại Hongkong
Cổ phiếu Hàn Quốc
SK Hynix
Giao dịch cổ phiếu Hàn Quốc thực và đầu tư vào các tài sản phổ biến
Futures cổ phiếu
Đòn bẩy cao, giao dịch 24/7
Cổ phiếu token hóa
Được hỗ trợ bởi tài sản cổ phiếu thực
IPO Access
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
GUSD
3.8%
Đúc GUSD để nhận lợi suất từ RWA kho bạc
Hoạt động cổ phiếu
Giao dịch cổ phiếu phổ biến và nhận airdrop hấp dẫn
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Kế hoạch tăng trưởng tài sản cao cấp
Gate Wealth
Nắm quyền kiểm soát tương lai tài chính của bạn
Quỹ định lượng
Chiến lược định lượng hàng đầu
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
Đòn bẩy không thanh lý
GUSD
3.8%
Nạp & đổi bất cứ lúc nào, miễn phí đổi
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
Những vụ hack và lừa đảo tiền mã hóa lớn nhất trong năm 2026 cho đến nay
Tổn thất an ninh trong crypto đạt 1,316 tỷ USD qua 344 sự cố trong nửa đầu năm 2026, theo báo cáo bảo mật H1 của CertiK. Khoảng 115,3 triệu USD đã bị đóng băng hoặc được hoàn trả, làm giảm tổn thất đã điều chỉnh xuống xấp xỉ 1,2 tỷ USD. Mức cải thiện có vẻ như trong năm 2025 cần thêm ngữ cảnh. Tổng số nửa đầu năm trước đó có bao gồm vụ Bybit bị xâm nhập đặc biệt trị giá 1,45 tỷ USD. Nếu loại bỏ riêng sự kiện đơn lẻ đó, CertiK ước tính các tổn thất tương tự đã tăng khoảng 28% trong năm 2026. Việc phân bổ các khoản lỗ cũng quan trọng không kém tổng số. Chi phí trung bình cho mỗi sự cố xấp xỉ 3,82 triệu USD, trong khi mức lỗ trung vị chỉ là 138.703 USD. Do đó, mức trung bình cao hơn trung vị hơn 27 lần, cho thấy một số ít sự cố hỏng hóc cực đoan đã đẩy toàn bộ kết quả đi lên. Chỉ riêng ba sự cố—Kelp DAO, Drift Protocol và một vụ trộm phishing nhắm mục tiêu 284 triệu USD—đã chiếm khoảng 65% tổng tổn thất được báo cáo trong nửa đầu năm. Một bảng xếp hạng tổn thất cần nhiều hơn một con số Các báo cáo sự cố trong crypto thường so sánh các chỉ số phản ánh các dạng thiệt hại khác nhau.
Tổn thất gộp
Giá trị bị lấy khỏi một giao thức hoặc nạn nhân trước các đợt thu hồi.
Trích xuất thực tế
Tài sản mà kẻ tấn công chuyển đổi thành giá trị kinh tế có thể chuyển nhượng.
Tổn thất ròng
Số tiền vẫn còn thiếu sau đóng băng, hoàn trả, thanh toán và thu hồi.
Nghĩa vụ của người dùng
Các khoản phải trả mà một nền tảng nợ, có thể lớn hơn hoặc nhỏ hơn khoản thu ban đầu của kẻ tấn công.
Quy mô phơi nhiễm danh nghĩa
Giá trị lý thuyết của các tài sản bị phát hành gian lận hoặc bị đặt vào rủi ro, ngay cả khi kẻ tấn công không thể kiếm tiền từ toàn bộ số đó.
Bảng xếp hạng bên dưới chủ yếu dựa trên tổn thất gộp được báo cáo. Các khoản thu hồi, định giá bị tranh cãi và chênh lệch giữa số tiền kẻ tấn công thu được với nghĩa vụ của nền tảng được nêu riêng. Với các sự cố liên quan đến việc tạo token không được bảo chứng, trích xuất thực tế có ý nghĩa hơn giá trị danh nghĩa của nguồn cung gian lận. Nếu không, một kẻ tấn công có thể tạo ra token kém thanh khoản trị giá 100 triệu USD nhưng trích xuất được chỉ 1 triệu USD tài sản thế chấp thực tế, thì sẽ bị xếp hạng sai là đã đánh cắp toàn bộ 100 triệu USD. Những tổn thất crypto lớn nhất được ghi nhận của năm 2026
Statement on Recent Security Incident
Vào đầu giờ chiều ngày 31 tháng 1 (APAC), khoảng $40M đã bị rút khỏi treasury của Step Finance. Đây là kết quả của việc các thiết bị của ban điều hành bị xâm nhập.
Ngay sau khi phát hiện sự vi phạm, chúng tôi đã bắt đầu làm việc…
— Step☀️ (@StepFinance_) February 2, 2026
Các ước tính trên chuỗi trước đó đặt khoản lỗ gần hơn 27 triệu USD vì chúng tập trung vào khoảng 261.854 SOL được xác định ban đầu đã rời khỏi các ví treasury. Con số sau đó của Step bao gồm một nhóm tài sản bị ảnh hưởng rộng hơn. Việc dùng ước tính gộp 40 triệu USD của dự án trong khi báo cáo riêng số tiền được thu hồi tạo nên bức tranh đầy đủ hơn so với việc chỉ chọn một con số mà không giải thích vì sao các ước tính khác nhau. Hậu quả tài chính của một cuộc tấn công cũng có thể vượt quá số tiền chuyển cho kẻ tấn công. Tài trợ khẩn cấp, chi phí pháp lý, bồi thường cho người dùng, gián đoạn hoạt động và doanh thu bị mất có thể khiến tác động kinh doanh cuối cùng lớn hơn mức rút tiền trên chuỗi ban đầu. 5. Humanity Protocol – 36 triệu USD Humanity Protocol đã hứng chịu một cuộc tấn công vào ngày 9 tháng 6 sau khi một thiết bị bị xâm nhập làm lộ dữ liệu ví và các khóa riêng (private keys) liên quan đến các tài khoản dự án đặc quyền. Trong phần giải thích chính thức, Humanity cho biết kẻ tấn công đã sao chép private keys từ thiết bị và dùng chúng để thực thi cuộc tấn công trên chuỗi. Dự án cũng cho biết hợp đồng token Ethereum H được bảo vệ bởi một multisig sạch riêng và cây cầu mainnet chính thống của nó không bị xâm phạm.
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) June 12, 2026
Các ước tính được công bố dao động từ khoảng 31 triệu USD đến 36 triệu USD, một phần vì các token H bị đánh cắp có giá thị trường khác nhau và ở các giai đoạn khác nhau của sự cố. Vấn đề cấu trúc quan trọng hơn là việc tập trung nhiều thông tin xác thực đặc quyền vào một điểm cuối bị xâm nhập. Một thỏa thuận multisignature chỉ cung cấp bảo vệ có ý nghĩa khi các khóa của nó được tách ra theo người, thiết bị, địa điểm và môi trường quản trị. Một vài thông tin xác thực được lưu trên hoặc có thể khôi phục từ cùng một máy tính vẫn có thể đáp ứng ngưỡng chữ ký trên chuỗi trong khi vẫn vận hành như một điểm lỗi thực tế duy nhất. 6. Resolv Protocol – Xấp xỉ 26,8 triệu USD Resolv Protocol đã bị khai thác vào ngày 22 tháng 3 sau khi một kẻ tấn công xâm nhập hạ tầng đám mây của họ và giành được quyền truy cập vào một khóa được quản lý thông qua AWS Key Management Service. Resolv đã dùng một dịch vụ ngoài chuỗi (offchain) để ủy quyền cho việc tạo USR sau khi người dùng nạp tài sản thế chấp. Theo phân tích sự cố của CertiK, kẻ tấn công đã thực hiện các giao dịch gửi USDC hợp lệ với số tiền tương đối nhỏ, rồi dùng vai trò dịch vụ bị xâm nhập để ủy quyền cho khoảng 80 triệu USR trên hai giao dịch. Hợp đồng đã xác minh rằng ủy quyền đến từ dịch vụ đã được phê duyệt. Nó áp đặt mức đầu ra tối thiểu nhưng không thực thi một mức tối đa gắn với số tài sản thế chấp mà người dùng đã nạp. Khi dịch vụ đặc quyền bị xâm nhập, kẻ tấn công có thể tạo các chữ ký hợp lệ về mặt mật mã nhưng không được hỗ trợ về mặt kinh tế. Điều này không có nghĩa rằng các dịch vụ quản lý khóa đám mây là vốn dĩ không phù hợp với hạ tầng crypto. Vấn đề thiết kế lớn hơn nằm ở mức độ quyền lực kinh tế không bị giới hạn được trao cho một vai trò dịch vụ duy nhất. Một khóa được bảo vệ vẫn có thể trở thành điểm lỗi thảm họa khi hợp đồng nhận các chữ ký đó không tự mình thực thi độc lập các tỷ lệ thế chấp, trần phát hành, giới hạn giao dịch hoặc tốc độ rút tiền. 7. Truebit – 26 triệu USD Truebit đã bị khai thác vào ngày 8 tháng 1 thông qua lỗ hổng tràn số nguyên (integer-overflow) trong một hợp đồng bonding-curve được triển khai vào năm 2021. Hợp đồng đã được biên dịch với Solidity 0.5.3, trước khi cơ chế tự động chống tràn được đưa vào Solidity 0.8.0. Kẻ tấn công cung cấp một giá trị cực lớn khiến phép tính số học bị “quay vòng” (wrap around) về một con số gần như bằng 0. Điều này cho phép mint một lượng lớn TRU với gần như không cần ETH, rồi redeem lấy ETH thật được nắm giữ trong hợp đồng. Chainalysis ước tính khoản lỗ chính là 26,2 triệu USD. CertiK đặt tổng số tiền gần hơn 26,6 triệu USD, bao gồm khoảng 224.000 USD bị trích xuất bởi một kẻ tấn công thứ hai. Việc triển khai lỗi không được xác minh công khai trên Etherscan. Điều đó không ngăn cản các kẻ tấn công phân tích nó. Bytecode của hợp đồng có thể được giải mã (decompile), hành vi của trình biên dịch cũ có thể được nhận diện, và các lỗ hổng nghi ngờ có thể được kiểm thử qua mô phỏng hoặc các nhánh blockchain (blockchain forks). Truebit là ngoại lệ rõ ràng nhất trong mô hình tổng thể được thấy ở năm 2026. Tổn thất của nó đến từ logic thực thi công khai chứ không phải quyền vận hành bị xâm phạm. Nó cũng cho thấy vì sao các hợp đồng “ngủ yên” (dormant) vẫn phải nằm trong phạm vi kiểm toán, giám sát và bug-bounty miễn là chúng vẫn giữ tiền hoặc quyền.
Why Echo Protocol Does Not Rank as a $76.7 Million Theft
Echo Protocol đôi khi được mô tả là chịu một khoản lỗ 76,7 triệu USD vì kẻ tấn công đã dùng một khóa quản trị bị xâm nhập để mint 1.000 eBTC không được bảo chứng mang giá trị danh nghĩa đó. Kẻ tấn công đã không trích xuất 76,7 triệu USD tài sản thực. Theo Merkle Science, 45 trong số eBTC gian lận đã được nạp vào giao thức cho vay Curvance. Kẻ tấn công đã vay khoảng 11,29 WBTC, trị giá xấp xỉ 867.000 USD, trước khi 955 eBTC không được bảo chứng còn lại bị đốt (burn). Vì vậy, các con số chính xác là:
Việc phân loại toàn bộ số lượng danh nghĩa như “bị đánh cắp” sẽ phóng đại thiệt hại thực tế lên gần 90 lần. Echo vẫn phơi bày một vấn đề rủi ro tài sản thế chấp quan trọng. Oracle của Curvance đã nhận ra đúng giá trị thị trường được gán cho eBTC, nhưng không thể xác định rằng các token cụ thể đó đã được tạo ra mà không có bảo chứng. Tính toàn vẹn giá không giống với tính toàn vẹn phát hành. Các giao thức cho vay chấp nhận tài sản thế chấp do bên ngoài phát hành cần các kiểm soát cho việc tạo nguồn cung bất thường, thay đổi quyền minting, nạp thế chấp đột ngột, xác minh bảo chứng và rủi ro quản trị cấp nhà phát hành. Một feed giá đúng không thể tự trả lời những câu hỏi đó. Lỗi chung là nằm ở Control Plane Các sự cố lớn nhất của năm 2026 không chia sẻ một lỗ hổng mã đơn lẻ. Chúng chia sẻ các điểm yếu trong hệ thống chịu trách nhiệm quyết định mã được phép làm gì. Trong thuật ngữ hạ tầng truyền thống, lớp thực thi (execution layer) xử lý hoạt động thông thường, còn control plane xác định quyền hạn, cấu hình, nguồn dữ liệu đáng tin cậy và các hành động ngoại lệ.
Sự phân biệt này phản ánh khá sát các sự cố lớn nhất:
Kelp: Một verifier chấp nhận phiên bản giả mạo của hoạt động chuỗi nguồn.
Drift: Các chữ ký hợp lệ chuyển quyền quản trị.
Step: Các thiết bị điều hành bị xâm nhập làm lộ quyền treasury.
Humanity: Một điểm cuối bị xâm nhập làm lộ các khóa đặc quyền.
Resolv: Một vai trò dịch vụ bị xâm nhập tạo ra các ủy quyền hợp lệ nhưng không được hỗ trợ về mặt kinh tế.
Echo: Một khóa quản trị có thể cấp quyền minting không bị giới hạn.
Truebit: Ngoại lệ là lỗi số học trong mã hợp đồng legacy.
CertiK đã ghi nhận 204 sự cố liên quan đến lỗ hổng mã trong nửa đầu năm, tạo ra khoảng 151,6 triệu USD tổn thất. Các vụ xâm nhập ví gây 444,5 triệu USD tổn thất chỉ trong 33 sự cố. Điều này tương đương trung bình khoảng 743.000 USD cho mỗi sự cố lỗ hổng mã và 13,5 triệu USD cho mỗi sự cố xâm nhập ví. Trung bình, một lần xâm nhập ví tốn kém hơn khoảng 18 lần. So sánh này không làm giảm tầm quan trọng của audit smart contract. Nó cho thấy khi audit hợp đồng mà loại trừ các bên ký (signers), phụ thuộc RPC, giao diện quản trị, vai trò đám mây và các cơ chế kiểm soát khẩn cấp, thì một phần đáng kể của hệ thống tài chính vẫn chưa được kiểm thử. Năm bộ kiểm soát giải quyết đúng các lỗi thực tế Thực thi giới hạn kinh tế sau khi xác thực Chữ ký hợp lệ nên chứng minh ai đã phê duyệt một hành động. Nó không nên cấp quyền lực kinh tế vô hạn. Việc minting, bridging, phê duyệt tài sản thế chấp và rút tiền vẫn có thể bị giới hạn thông qua kích thước giao dịch tối đa, giới hạn lăn/tuân hoàn (rolling limits), tỷ lệ thế chấp, độ trễ theo thời gian, trần theo từng loại tài sản và cơ chế tạm dừng tự động. Các kiểm soát này có thể không ngăn chặn việc một thông tin xác thực bị xâm nhập, nhưng chúng có thể ngăn một khóa bị xâm nhập ngay lập tức tạo ra một nghĩa vụ vô hạn. Đo tính độc lập, không đo số lượng khóa Một multisig 3-of-5 không thể coi là phân tán một cách có ý nghĩa nếu ba khóa có thể được khôi phục từ một laptop hoặc được kiểm soát thông qua cùng một tài khoản doanh nghiệp. Hướng dẫn quản lý khóa của NIST nhấn mạnh các kiểm soát theo vòng đời bao gồm cấp quyền, sao lưu, trách nhiệm giải trình, phân tách nhiệm vụ, phản hồi khi bị xâm phạm và bảo vệ dữ liệu/kiểu vật liệu khóa. Các giao thức nên xác định liệu các bên ký được cho là độc lập có dùng chung thiết bị, trình quản lý mật khẩu, tenant đám mây, quy trình khôi phục, địa điểm vật lý hay đường dây báo cáo hay không. Giám sát mối quan hệ, không chỉ giám sát giao dịch Mỗi giao dịch trong vụ khai thác Kelp đều trông có vẻ hợp lệ. Lỗi có thể phát hiện được nằm ở mối quan hệ bị thiếu giữa hai chuỗi: rsETH được phát hành trên Ethereum mà không bị đốt (burn) trên chuỗi nguồn. Giám sát cây cầu (bridge monitoring) nên liên tục đối chiếu các lệnh khóa, burn, mint và release trên mọi mạng liên quan. Các kiểm tra bất biến tương tự có thể so sánh tài sản thế chấp nạp vào với token được mint, dự trữ với nguồn cung đang lưu hành, và giới hạn rút tiền đã phê duyệt với dòng tiền rút thực tế. Mô phỏng ý định quản trị trước khi ký Ví phần cứng bảo vệ khóa riêng, nhưng không thể xác định liệu người dùng hợp pháp có đang phê duyệt một giao dịch độc hại hay không. Các giao dịch quản trị nên được giải mã và mô phỏng trong một môi trường tách biệt trước khi thực thi. Người ký cần thấy những thay đổi quyền hạn phát sinh, các tài sản thế chấp mới được phê duyệt, tham số định giá, giới hạn rút tiền, nâng cấp hợp đồng và việc chuyển quyền sở hữu, chứ không chỉ là hash của giao dịch hoặc một lời nhắc ví mơ hồ. Giữ hợp đồng legacy trong “chu vi bảo mật” Một hợp đồng không trở nên an toàn hơn chỉ vì nó đã vận hành không xảy ra sự cố trong vài năm. Bất kỳ lần triển khai nào đang nắm giữ tài sản, xử lý việc redeem, kiểm soát quyền của giao thức hoặc vẫn kết nối với các sản phẩm hiện tại đều nên có mã nguồn đã xác minh, tài liệu hóa giả định của trình biên dịch, giám sát chủ động và nằm trong các chương trình kiểm toán và bug-bounty. Giải mã/dò tìm hỗ trợ bởi AI có thể giảm thời gian kẻ tấn công cần để nhận diện các lỗi số học cũ, lỗi kiểm soát truy cập hoặc xác thực. “Bảo mật bằng cách che giấu” trở nên kém hiệu quả hơn khi các công cụ này ngày càng cải thiện. AI đang khuếch đại các mô hình gian lận hiện có AI không tạo ra các lỗ hổng cốt lõi phía sau Kelp, Drift, Resolv hay Echo. Tác động tức thời hơn của nó là giảm chi phí cho việc nghiên cứu mục tiêu, mạo danh, định vị/lokal hóa và duy trì liên lạc. Báo cáo Tội phạm Crypto 2026 của Chainalysis—phân tích hoạt động năm 2025—cho thấy các hoạt động lừa đảo có liên kết nhận diện được tới nhà cung cấp dịch vụ AI có khả năng sinh lợi cao hơn khoảng 4,5 lần so với các scam không có các liên kết đó. Bằng chứng này không nên được trình bày như là bằng chứng rằng mọi cuộc tấn công tinh vi trong năm 2026 đều dùng AI. Nó cho thấy các hoạt động có hỗ trợ AI đã tạo ra lợi nhuận cao hơn và có thể khiến một số kỹ thuật đã được biết dễ mở rộng hơn:
Danh tính tổng hợp
Video và giọng nói giả mạo (deepfake) để mạo danh.
Trinh sát nâng cao
Nghiên cứu mục tiêu trên mạng xã hội và mạng lưới nghề nghiệp.
Lừa đảo xã hội đa ngôn ngữ
Những cuộc trò chuyện kéo dài bằng nhiều ngôn ngữ.
Phishing thích nghi
Giao diện được nhân bản và trang phishing được cá nhân hóa.
Nghiên cứu lỗ hổng tự động
Phân tích tự động hợp đồng và bytecode đã decompile.
Khả năng cao sự phát triển là sự kết hợp giữa các phương pháp xã hội và kỹ thuật. Lừa đảo xã hội có được thông tin xác thực hoặc ủy quyền; quyền/phân quyền sẵn có của giao thức chuyển quyền truy cập đó thành một khoản lỗ tài chính. Thay đổi quy định: trách nhiệm, không phải cơ chế khai thác Giai đoạn chuyển tiếp MiCA của Liên minh châu Âu đã kết thúc vào ngày 1 tháng 7 năm 2026. Các nhà cung cấp dịch vụ tài sản crypto thuộc phạm vi nhìn chung hiện nay thường cần được cấp phép để tiếp tục hoạt động tại EU, tùy thuộc phạm vi của quy định và các quyết định giám sát theo từng quốc gia. MiCA có thể củng cố quản trị (governance), giám sát lưu ký (custody), kiểm soát vận hành và trách nhiệm giải trình (accountability). Nhưng nó không thể quyết định liệu một cầu có dùng verifier độc lập hay không, liệu các khóa đặc quyền có được tách đúng hay không, hoặc liệu người ký được ủy quyền có hiểu một giao dịch độc hại hay không. Đạo luật US GENIUS Act đã được ký thành luật vào ngày 18 tháng 7 năm 2025 và thiết lập một khung liên bang cho các stablecoin thanh toán. Nó không phải là một chế độ an ninh mạng tổng quát cho mọi cầu, sàn giao dịch, ví hay giao thức DeFi. Quy định xác định ai chịu trách nhiệm và những biện pháp bảo vệ (safeguards) nào cần tồn tại. Kỹ thuật an ninh xác định liệu một thông điệp giả mạo, một khóa bị xâm nhập hoặc một phê duyệt độc hại có thể thực thi trước khi các biện pháp bảo vệ đó phản ứng. Những gì cần theo dõi trong nửa còn lại của năm 2026 Bức tranh bảo mật cuối cùng của năm 2026 không nên chỉ được đánh giá qua tổng tổn thất headline tích lũy.
Security Intelligence: Các chỉ báo trọng yếu
Sự tập trung tổn thất
Liệu một vài sự cố cực đoan có tiếp tục chi phối tổng số hằng năm hay không.
Bề mặt tấn công
Liệu các vụ xâm nhập ví, quản trị, đám mây và hạ tầng có tiếp tục đắt hơn các vụ khai thác mã hay không.
Thiệt hại sau khi điều chỉnh theo thu hồi
Bao nhiêu phần còn thiếu sau đóng băng, thanh toán lại và các khoản hoàn trả được thương lượng.
Chất lượng quy kết
Liệu các liên kết ban đầu tới các nhóm được nhà nước hậu thuẫn có được hỗ trợ bởi các cuộc điều tra đã hoàn tất hay không.
Mức độ áp dụng kiểm soát
Liệu các giao thức có giới thiệu xác minh độc lập, mô phỏng giao dịch, tách khóa và các giới hạn kinh tế có thể thực thi trước cuộc tấn công lớn tiếp theo hay không.
Bảng xếp hạng này là một ảnh chụp nhanh được chuẩn bị vào ngày 17 tháng 7, không phải một bản ghi chính thức cho cả năm. Gần 46% của năm 2026 vẫn còn, và các số liệu tổn thất lịch sử có thể tiếp tục thay đổi nhờ việc thu hồi tài sản, điều chỉnh giá token, nhận diện thêm các ví mới và phân biệt rõ hơn giữa phơi nhiễm danh nghĩa với hành vi trộm cắp thực tế (realized theft). Các bằng chứng ủng hộ một kết luận hẹp hơn: các sự cố có giá trị cao ngày càng nhắm vào các hệ thống kiểm soát xung quanh smart contract, bên ký (signers), thiết bị, hạ tầng RPC, dịch vụ đặc quyền và mạng xác minh—thay vì chỉ nhắm vào logic của hợp đồng.
Bài viết này chỉ nhằm mục đích giáo dục. Các định giá sự cố có thể thay đổi do biến động giá tài sản, các khoản thu hồi, điều chỉnh quy kết và sự khác biệt giữa phơi nhiễm gộp, trích xuất thực tế và tổn thất ròng.