加密攻擊、詐騙與漏洞利用在 2026 年上半年造成超過 13 億美元的總損失,且數起大型事件主導了已記錄的總額。 TL;DR
根據 CertiK 的 H1 安全報告,2026 年上半年共有 344 起事件,導致加密安全損失達 13.16 億美元。約有 1.153 億美元的資金被凍結或退回,使調整後損失約為 12 億美元。 從 2025 年看似改善的原因需要一些背景說明。前一年上半年的總額包含了特例的 14.5 億美元 Bybit 事故。若排除這單一事件,CertiK 估計 2026 年的相當損失增加了約 28%。 這些損失的分布同樣重要。平均每起事件成本約 382 萬美元,而中位數損失僅 13 萬 8,703 美元。因此平均值是中位數的超過 27 倍,顯示少數極端失敗推動了整體結果。 僅三起事件——Kelp DAO、Drift Protocol,以及一筆價值 2.84 億美元的針對性釣魚損失——就約佔所有已通報的 2026 年上半年損失的 65%。 單靠一個數字不足以說明損失排名 加密事件通報常會比較衡量不同形式損害的指標。
總損失
在回收之前,從協議或受害者身上被移除的價值。
已實現抽取
攻擊者成功轉換為可轉移的經濟價值的資產。
淨損失
在凍結、退回、償還與回收之後,仍然缺失的金額。
使用者負債
由平台所欠的索賠,可能大於或小於攻擊者最初取得的所得。
名目曝險
理論上由詐欺方式發行或置於風險中的資產價值,即便攻擊者無法變現全額。
下列排名主要使用通報的總損失。回收、爭議估值,以及攻擊者所得與平台負債之間的差異,則分別說明。 對於涉及未被支撐的代幣建立事件而言,已實現抽取比詐欺供給的名目價值更有意義。否則,一名攻擊者若創造了 1 億美元的流動性差代幣卻只抽取了 100 萬美元的真實抵押,可能會被錯誤地評為竊取了全部 1 億美元。 2026 年通報的最大加密損失
近期安全事件聲明
在 1 月 31 日下午早些時段(APAC),約 $40M 從 Step Finance 的金庫中被盜走。這是由於我們執行團隊的裝置遭到入侵所致。
我們在立即偵測到入侵後,便開始著手……
— Step☀️ (@StepFinance_) 2026 年 2 月 2 日
先前鏈上估計的損失更接近 2,700 萬美元,因為當時聚焦在最初被識別留在金庫錢包的約 261,854 SOL。Step 的後續數字則包含更廣泛的受影響資產。 使用專案的 4,000 萬美元總估算,同時另行通報已回收金額,能比只選擇單一數字而不解釋估算差異提供更完整的畫面。 攻擊帶來的財務後果也可能超出轉移給攻擊者的金額。緊急融資、法律費用、使用者補償、中斷的營運以及損失的收入,可能使最終對企業的影響大於最初鏈上提領的金額。 5. Humanity Protocol – 3,600 萬美元 Humanity Protocol 在 6 月 9 日遭攻擊,原因是遭入侵的裝置暴露了與具特權的專案帳戶相關的錢包資料與私鑰。 在官方說明中,Humanity 表示攻擊者從該裝置複製私鑰,並使用它們執行鏈上攻擊。 該專案也表示,以太坊 H 代幣合約受到另一套獨立的 clean multisig 保護,其標準主網橋接合約並未遭到入侵。
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) 2026 年 6 月 12 日
已公開的估計落在約 3,100 萬至 3,600 萬美元之間,部分原因是被竊取的 H 代幣以不同市場價格計價,且事件不同階段的估值也不同。 更重要的結構性問題在於多個特權憑證集中於同一個遭入侵的端點。 多重簽名安排只有在其金鑰分散在不同的人、裝置、地點與管理環境中時才提供有意義的保護。儲存在同一台電腦上或可從同一台電腦取回的多項憑證,仍可能在符合鏈上簽名門檻的同時,仍實際上運作成單一失效點。 6. Resolv Protocol – 約 2,680 萬美元 Resolv Protocol 在 3 月 22 日遭到利用;攻擊者入侵了其雲端基礎設施,並取得了一個透過 AWS Key Management Service 進行控管的金鑰的存取權。 Resolv 使用一個離線服務來授權在使用者存入抵押品後建立 USR。 依 CertiK 的事件分析,攻擊者先進行了相對較小的合法 USDC 存入,接著利用遭入侵的服務角色,透過兩筆交易授權約 8,000 萬 USR 的建立。 合約驗證授權來自已核准的服務。它設定了最低輸出(minimum output),但未強制針對使用者所存入抵押品的最高金額上限。 一旦該具特權的服務遭到入侵,攻擊者就能產生在加密上有效、但在經濟上不受支撐的授權。 這不代表雲端金鑰管理服務本質上不適用於加密基礎設施。較大的設計問題在於:向單一服務角色授予了多少不受限制的經濟權限。 即使金鑰被保護,當接收其簽名的合約並未獨立強制抵押比率、鑄造上限、交易限制或提領速度時,它仍可能成為災難性的失效點。 7. Truebit – 2,600 萬美元 Truebit 在 1 月 8 日遭到利用,原因是 2021 年部署在一個 bonding-curve 合約中的整數溢位漏洞。 該合約以 Solidity 0.5.3 編譯,而在 Solidity 0.8.0 引入自動溢位保護之前。 攻擊者提供了異常巨大的數值,導致算術計算結果回繞到接近零的數字。這使得幾乎不需要 ETH 就能鑄造大量 TRU,隨後再用於兌回合約中持有的真實 ETH。 Chainalysis 估計主要損失為 2,620 萬美元。CertiK 則將合計金額估在更接近 2,660 萬美元,包括約 224,000 美元遭第二名攻擊者抽取。 該有漏洞的實作未曾在 Etherscan 上公開驗證。但這並未阻止攻擊者去檢視它。 合約的位元組碼可以反編譯、可辨識舊版編譯器行為,並可透過模擬或鏈分叉測試推測的漏洞。 Truebit 是 2026 年更廣泛模式中最清楚的主要例外。其損失源自公開的執行邏輯,而非遭到入侵的作業授權權限。 也說明為何閒置合約必須在審計、監控與漏洞獎勵範圍內持續保留,只要它們仍保有資金或權限。 為何 Echo Protocol 不算作 7,670 萬美元的竊取 Echo Protocol 有時被描述為遭受 7,670 萬美元損失,因為攻擊者使用遭入侵的管理員金鑰鑄造了 1,000 個未支撐的 eBTC,並攜帶該名目價值。 攻擊者並未把 7,670 萬美元以真實資產的形式抽取出來。 依 Merkle Science,偽造的 45 個 eBTC 之中被存入 Curvance 借貸協議。 攻擊者在剩餘 955 個未支撐 eBTC 被焚毀前,先借了約 11.29 WBTC,價值約 86.7 萬美元。 因此,正確的數字是:
若將全部名目金額都歸類為竊取,將把已實現的損害誇大將近 90 倍。 Echo 仍暴露出重要的抵押風險問題。Curvance 的預言機正確辨識了市場對 eBTC 所賦予的價值,但它無法判定這些特定代幣是在沒有支撐的情況下被建立。 價格完整性不等同於發行完整性。 接受外部發行抵押的借貸協議,需要能處理異常供給建立、鑄造權力變更、突然的抵押存入、支撐驗證,以及發行者層級的管理風險等控制措施。單靠正確的價格資訊無法回答這些問題。 最大共通失敗在於控制平面 2026 年最大事件彼此並未共享同一個程式碼漏洞。它們共享的是:負責決定「程式碼被允許做什麼」的系統弱點。 用傳統基礎設施的術語來說,執行層(execution layer)處理一般活動,而控制平面(control plane)則決定權限、組態、可信資料來源與例外行動。
這種差異與最大事件非常吻合:
Kelp: 驗證者接受了被偽造的來源鏈活動版本。
Drift: 有效的簽名轉移了管理控制權。
Step: 遭入侵的執行端裝置暴露了金庫權限。
Humanity: 遭入侵的端點暴露了特權金鑰。
Resolv: 遭入侵的服務角色產生了有效但在經濟上不受支撐的授權。
Echo: 一把管理員金鑰即可授予不設上限的鑄造權限。
Truebit: 例外是舊版合約程式碼中的算術缺陷。
CertiK 記錄了今年上半年的 204 起程式碼漏洞事件,造成約 1.516 億美元損失。錢包遭入侵造成 4.445 億美元的損失,且僅發生在 33 起事件中。 這換算成平均值:每起程式碼漏洞事件約 74.3 萬美元,而每起錢包遭入侵事件約 1,350 萬美元。 平均而言,錢包遭入侵的代價約是高出 18 倍。 這樣的比較並不能讓智慧合約稽核變得不重要。它只是顯示:在排除合約簽署者、RPC 相依性、管理介面、雲端角色與緊急控制之後,對合約本身進行稽核仍會讓相當一部分財務系統處於未測試狀態。 五項能對應真正失敗的控制措施 在驗證後強制經濟限制 有效簽名應當能證明是誰批准了某個行動。它不應授予無限制的經濟權限。 鑄造、橋接、抵押品核准與提領仍可透過最大交易規模、滾動限制、抵押比率、時間延遲、資產特定上限以及自動暫停來限制。 這些控制可能無法阻止憑證遭到入侵,但能阻止被入侵的單一金鑰立即產生無上限的責任。
衡量的是獨立性,而非金鑰數量 3-of-5 的多重簽名在「三把金鑰都能從同一台筆電恢復」或「由同一間企業帳號控管」時,並沒有意義上的分散。 NIST 的金鑰管理指引強調生命週期層級的控制措施,包括授權、備份、責任歸屬、職責分離、遭到入侵時的應對,以及保護金鑰物料(keying material)。 協議應辨識所謂彼此獨立的簽署者是否共用裝置、密碼管理器、雲端租戶、復原流程、實體位置,或彙報關係。
監控關係,而不只是交易 Kelp 竊取事件中的每一筆交易看起來都合法有效。可偵測的失敗在於兩條鏈之間的關係缺失:rsETH 在以太坊上被釋放,卻沒有在來源鏈上被焚毀。 橋接監控應持續在每一個相關網路上對帳鎖定(locks)、焚毀(burns)、鑄造(mints)與釋放(releases)。 類似的不變量檢查也可以將存入的抵押品與鑄造出的代幣進行對比、將準備金(reserves)與流通供給(circulating supply)對比,以及將已核准的提領上限對照實際流出。
在簽名前模擬管理意圖 硬體錢包能保護私鑰,但無法判斷是合法使用者在批准一筆惡意交易。 管理交易在執行前應先於隔離環境中解碼與模擬。 簽署者需要看見由此導致的權限變更、新核准的抵押資產、定價參數、提領限制、合約升級,以及所有權移轉;而不僅是交易雜湊或不透明的錢包提示。
將舊版合約保留在安全邊界內 合約並不會因為幾年來沒有發生事件就變得更安全。 任何持有資產、處理兌回(redemptions)、控制協議權限,或仍與現行產品保持連線的部署,都應具備已驗證的原始程式碼、文件化的編譯器假設、持續的主動監控,以及納入審計與漏洞獎勵計畫。
AI 正在放大既有的詐欺模型 AI 並未創造 Kelp、Drift、Resolv 或 Echo 背後的核心漏洞。它更直接的影響是降低目標研究、冒充、在地化與持續通訊的成本。 Chainalysis 的 2026 年加密犯罪報告(分析 2025 年的活動)發現:與可辨識的 AI 服務供應商具連結的詐騙行動,其獲利性約為不具這些連結的詐騙的 4.5 倍。 這些證據不應被拿來當作「2026 年每一場高階攻擊都使用了 AI」的證明。它顯示:在 AI 輔助操作已經在產生更高報酬,並能使多種既有技術更容易擴大規模:
合成身分
深偽(deepfake)影片與聲音冒充。
進階偵察
跨社交與專業網路進行目標研究。
多語言社交工程
以多種語言進行長期對話。
自適應釣魚
複製的介面與個人化釣魚頁面。
自動化漏洞研究
對合約與反編譯位元組碼進行自動化分析。
可能的發展是社交與技術方法的組合。社交工程獲取憑證或授權;既有的協議權限再把這種存取轉換成財務損失。
監管變更要追求問責,而非攻擊機制 歐盟的 MiCA 過渡期已於 2026 年 7 月 1 日結束。涵蓋的加密資產服務提供者一般而言,現在要繼續在歐盟運作,通常需要依照法規範圍與各國監管決策取得授權。 MiCA 能強化治理、託管、作業控制與問責。但它無法判定一座橋是否使用獨立驗證者、特權金鑰是否被妥善分離、或已授權的簽署者是否理解那筆惡意交易。 美國的 GENIUS 法案(US GENIUS Act)於 2025 年 7 月 18 日簽署成法,並建立一套針對支付穩定幣的聯邦框架。 它不是針對每一座橋、交易所、錢包或 DeFi 協議的一般資安法規制度。 監管決定誰負責以及應存在哪些防護措施。安全工程則決定在這些防護措施作出反應之前,偽造訊息、遭入侵金鑰或惡意核准是否能執行。
要觀察到 2026 年餘下時間的重點 最終的 2026 安全圖景不應只用累積的標題式損失來判斷。
安全情報:關鍵指標
損失集中度
少數極端事件是否仍持續主導年度總額。
攻擊面
錢包、管理、雲端與基礎設施遭入侵,是否仍比程式碼漏洞利用更昂貴。
經過回收調整的損害
在凍結、償付與協商回收後,仍然缺失多少。
歸因品質
與國家支持團體的初步連結,是否有經過完成調查的支撐。
控制採用
協議是否在下一次重大攻擊之前導入獨立驗證、交易模擬、金鑰分離,以及可執行的經濟限制。
此排名是在 7 月 17 日編製的快照,不是全年的最終紀錄。幾乎還有 46% 的 2026 年餘下,且歷史損失數字可能會隨資產回收、代幣價格修正、先前未被識別的錢包,以及名目曝險與已實現竊取之間更清晰的區分而持續變動。 證據支持一個更狹義的結論:價值最高的事件愈來愈多是針對智慧合約周邊的控制系統,包括簽署者、裝置、RPC 基礎設施、特權服務與驗證網路,而不只是合約邏輯本身。
本文僅供教育用途。由於資產價格變動、資金回收、歸因修正,以及總曝險、已實現抽取與淨損失之間的差異,事件估值可能會變動。
137.98萬 熱度
75.1萬 熱度
25萬 熱度
102.63萬 熱度
2915.39萬 熱度
截至目前 2026 年最大規模的加密貨幣駭客攻擊與詐騙
根據 CertiK 的 H1 安全報告,2026 年上半年共有 344 起事件,導致加密安全損失達 13.16 億美元。約有 1.153 億美元的資金被凍結或退回,使調整後損失約為 12 億美元。 從 2025 年看似改善的原因需要一些背景說明。前一年上半年的總額包含了特例的 14.5 億美元 Bybit 事故。若排除這單一事件,CertiK 估計 2026 年的相當損失增加了約 28%。 這些損失的分布同樣重要。平均每起事件成本約 382 萬美元,而中位數損失僅 13 萬 8,703 美元。因此平均值是中位數的超過 27 倍,顯示少數極端失敗推動了整體結果。 僅三起事件——Kelp DAO、Drift Protocol,以及一筆價值 2.84 億美元的針對性釣魚損失——就約佔所有已通報的 2026 年上半年損失的 65%。 單靠一個數字不足以說明損失排名 加密事件通報常會比較衡量不同形式損害的指標。
總損失
在回收之前,從協議或受害者身上被移除的價值。
已實現抽取
攻擊者成功轉換為可轉移的經濟價值的資產。
淨損失
在凍結、退回、償還與回收之後,仍然缺失的金額。
使用者負債
由平台所欠的索賠,可能大於或小於攻擊者最初取得的所得。
名目曝險
理論上由詐欺方式發行或置於風險中的資產價值,即便攻擊者無法變現全額。
下列排名主要使用通報的總損失。回收、爭議估值,以及攻擊者所得與平台負債之間的差異,則分別說明。 對於涉及未被支撐的代幣建立事件而言,已實現抽取比詐欺供給的名目價值更有意義。否則,一名攻擊者若創造了 1 億美元的流動性差代幣卻只抽取了 100 萬美元的真實抵押,可能會被錯誤地評為竊取了全部 1 億美元。 2026 年通報的最大加密損失
近期安全事件聲明
在 1 月 31 日下午早些時段(APAC),約 $40M 從 Step Finance 的金庫中被盜走。這是由於我們執行團隊的裝置遭到入侵所致。
我們在立即偵測到入侵後,便開始著手……
— Step☀️ (@StepFinance_) 2026 年 2 月 2 日
先前鏈上估計的損失更接近 2,700 萬美元,因為當時聚焦在最初被識別留在金庫錢包的約 261,854 SOL。Step 的後續數字則包含更廣泛的受影響資產。 使用專案的 4,000 萬美元總估算,同時另行通報已回收金額,能比只選擇單一數字而不解釋估算差異提供更完整的畫面。 攻擊帶來的財務後果也可能超出轉移給攻擊者的金額。緊急融資、法律費用、使用者補償、中斷的營運以及損失的收入,可能使最終對企業的影響大於最初鏈上提領的金額。 5. Humanity Protocol – 3,600 萬美元 Humanity Protocol 在 6 月 9 日遭攻擊,原因是遭入侵的裝置暴露了與具特權的專案帳戶相關的錢包資料與私鑰。 在官方說明中,Humanity 表示攻擊者從該裝置複製私鑰,並使用它們執行鏈上攻擊。 該專案也表示,以太坊 H 代幣合約受到另一套獨立的 clean multisig 保護,其標準主網橋接合約並未遭到入侵。
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) 2026 年 6 月 12 日
已公開的估計落在約 3,100 萬至 3,600 萬美元之間,部分原因是被竊取的 H 代幣以不同市場價格計價,且事件不同階段的估值也不同。 更重要的結構性問題在於多個特權憑證集中於同一個遭入侵的端點。 多重簽名安排只有在其金鑰分散在不同的人、裝置、地點與管理環境中時才提供有意義的保護。儲存在同一台電腦上或可從同一台電腦取回的多項憑證,仍可能在符合鏈上簽名門檻的同時,仍實際上運作成單一失效點。 6. Resolv Protocol – 約 2,680 萬美元 Resolv Protocol 在 3 月 22 日遭到利用;攻擊者入侵了其雲端基礎設施,並取得了一個透過 AWS Key Management Service 進行控管的金鑰的存取權。 Resolv 使用一個離線服務來授權在使用者存入抵押品後建立 USR。 依 CertiK 的事件分析,攻擊者先進行了相對較小的合法 USDC 存入,接著利用遭入侵的服務角色,透過兩筆交易授權約 8,000 萬 USR 的建立。 合約驗證授權來自已核准的服務。它設定了最低輸出(minimum output),但未強制針對使用者所存入抵押品的最高金額上限。 一旦該具特權的服務遭到入侵,攻擊者就能產生在加密上有效、但在經濟上不受支撐的授權。 這不代表雲端金鑰管理服務本質上不適用於加密基礎設施。較大的設計問題在於:向單一服務角色授予了多少不受限制的經濟權限。 即使金鑰被保護,當接收其簽名的合約並未獨立強制抵押比率、鑄造上限、交易限制或提領速度時,它仍可能成為災難性的失效點。 7. Truebit – 2,600 萬美元 Truebit 在 1 月 8 日遭到利用,原因是 2021 年部署在一個 bonding-curve 合約中的整數溢位漏洞。 該合約以 Solidity 0.5.3 編譯,而在 Solidity 0.8.0 引入自動溢位保護之前。 攻擊者提供了異常巨大的數值,導致算術計算結果回繞到接近零的數字。這使得幾乎不需要 ETH 就能鑄造大量 TRU,隨後再用於兌回合約中持有的真實 ETH。 Chainalysis 估計主要損失為 2,620 萬美元。CertiK 則將合計金額估在更接近 2,660 萬美元,包括約 224,000 美元遭第二名攻擊者抽取。 該有漏洞的實作未曾在 Etherscan 上公開驗證。但這並未阻止攻擊者去檢視它。 合約的位元組碼可以反編譯、可辨識舊版編譯器行為,並可透過模擬或鏈分叉測試推測的漏洞。 Truebit 是 2026 年更廣泛模式中最清楚的主要例外。其損失源自公開的執行邏輯,而非遭到入侵的作業授權權限。 也說明為何閒置合約必須在審計、監控與漏洞獎勵範圍內持續保留,只要它們仍保有資金或權限。 為何 Echo Protocol 不算作 7,670 萬美元的竊取 Echo Protocol 有時被描述為遭受 7,670 萬美元損失,因為攻擊者使用遭入侵的管理員金鑰鑄造了 1,000 個未支撐的 eBTC,並攜帶該名目價值。 攻擊者並未把 7,670 萬美元以真實資產的形式抽取出來。 依 Merkle Science,偽造的 45 個 eBTC 之中被存入 Curvance 借貸協議。 攻擊者在剩餘 955 個未支撐 eBTC 被焚毀前,先借了約 11.29 WBTC,價值約 86.7 萬美元。 因此,正確的數字是:
若將全部名目金額都歸類為竊取,將把已實現的損害誇大將近 90 倍。 Echo 仍暴露出重要的抵押風險問題。Curvance 的預言機正確辨識了市場對 eBTC 所賦予的價值,但它無法判定這些特定代幣是在沒有支撐的情況下被建立。 價格完整性不等同於發行完整性。 接受外部發行抵押的借貸協議,需要能處理異常供給建立、鑄造權力變更、突然的抵押存入、支撐驗證,以及發行者層級的管理風險等控制措施。單靠正確的價格資訊無法回答這些問題。 最大共通失敗在於控制平面 2026 年最大事件彼此並未共享同一個程式碼漏洞。它們共享的是:負責決定「程式碼被允許做什麼」的系統弱點。 用傳統基礎設施的術語來說,執行層(execution layer)處理一般活動,而控制平面(control plane)則決定權限、組態、可信資料來源與例外行動。
這種差異與最大事件非常吻合:
Kelp: 驗證者接受了被偽造的來源鏈活動版本。
Drift: 有效的簽名轉移了管理控制權。
Step: 遭入侵的執行端裝置暴露了金庫權限。
Humanity: 遭入侵的端點暴露了特權金鑰。
Resolv: 遭入侵的服務角色產生了有效但在經濟上不受支撐的授權。
Echo: 一把管理員金鑰即可授予不設上限的鑄造權限。
Truebit: 例外是舊版合約程式碼中的算術缺陷。
CertiK 記錄了今年上半年的 204 起程式碼漏洞事件,造成約 1.516 億美元損失。錢包遭入侵造成 4.445 億美元的損失,且僅發生在 33 起事件中。 這換算成平均值:每起程式碼漏洞事件約 74.3 萬美元,而每起錢包遭入侵事件約 1,350 萬美元。 平均而言,錢包遭入侵的代價約是高出 18 倍。 這樣的比較並不能讓智慧合約稽核變得不重要。它只是顯示:在排除合約簽署者、RPC 相依性、管理介面、雲端角色與緊急控制之後,對合約本身進行稽核仍會讓相當一部分財務系統處於未測試狀態。 五項能對應真正失敗的控制措施 在驗證後強制經濟限制 有效簽名應當能證明是誰批准了某個行動。它不應授予無限制的經濟權限。 鑄造、橋接、抵押品核准與提領仍可透過最大交易規模、滾動限制、抵押比率、時間延遲、資產特定上限以及自動暫停來限制。 這些控制可能無法阻止憑證遭到入侵,但能阻止被入侵的單一金鑰立即產生無上限的責任。
衡量的是獨立性,而非金鑰數量 3-of-5 的多重簽名在「三把金鑰都能從同一台筆電恢復」或「由同一間企業帳號控管」時,並沒有意義上的分散。 NIST 的金鑰管理指引強調生命週期層級的控制措施,包括授權、備份、責任歸屬、職責分離、遭到入侵時的應對,以及保護金鑰物料(keying material)。 協議應辨識所謂彼此獨立的簽署者是否共用裝置、密碼管理器、雲端租戶、復原流程、實體位置,或彙報關係。
監控關係,而不只是交易 Kelp 竊取事件中的每一筆交易看起來都合法有效。可偵測的失敗在於兩條鏈之間的關係缺失:rsETH 在以太坊上被釋放,卻沒有在來源鏈上被焚毀。 橋接監控應持續在每一個相關網路上對帳鎖定(locks)、焚毀(burns)、鑄造(mints)與釋放(releases)。 類似的不變量檢查也可以將存入的抵押品與鑄造出的代幣進行對比、將準備金(reserves)與流通供給(circulating supply)對比,以及將已核准的提領上限對照實際流出。
在簽名前模擬管理意圖 硬體錢包能保護私鑰,但無法判斷是合法使用者在批准一筆惡意交易。 管理交易在執行前應先於隔離環境中解碼與模擬。 簽署者需要看見由此導致的權限變更、新核准的抵押資產、定價參數、提領限制、合約升級,以及所有權移轉;而不僅是交易雜湊或不透明的錢包提示。
將舊版合約保留在安全邊界內 合約並不會因為幾年來沒有發生事件就變得更安全。 任何持有資產、處理兌回(redemptions)、控制協議權限,或仍與現行產品保持連線的部署,都應具備已驗證的原始程式碼、文件化的編譯器假設、持續的主動監控,以及納入審計與漏洞獎勵計畫。
AI 正在放大既有的詐欺模型 AI 並未創造 Kelp、Drift、Resolv 或 Echo 背後的核心漏洞。它更直接的影響是降低目標研究、冒充、在地化與持續通訊的成本。 Chainalysis 的 2026 年加密犯罪報告(分析 2025 年的活動)發現:與可辨識的 AI 服務供應商具連結的詐騙行動,其獲利性約為不具這些連結的詐騙的 4.5 倍。 這些證據不應被拿來當作「2026 年每一場高階攻擊都使用了 AI」的證明。它顯示:在 AI 輔助操作已經在產生更高報酬,並能使多種既有技術更容易擴大規模:
合成身分
深偽(deepfake)影片與聲音冒充。
進階偵察
跨社交與專業網路進行目標研究。
多語言社交工程
以多種語言進行長期對話。
自適應釣魚
複製的介面與個人化釣魚頁面。
自動化漏洞研究
對合約與反編譯位元組碼進行自動化分析。
可能的發展是社交與技術方法的組合。社交工程獲取憑證或授權;既有的協議權限再把這種存取轉換成財務損失。
監管變更要追求問責,而非攻擊機制 歐盟的 MiCA 過渡期已於 2026 年 7 月 1 日結束。涵蓋的加密資產服務提供者一般而言,現在要繼續在歐盟運作,通常需要依照法規範圍與各國監管決策取得授權。 MiCA 能強化治理、託管、作業控制與問責。但它無法判定一座橋是否使用獨立驗證者、特權金鑰是否被妥善分離、或已授權的簽署者是否理解那筆惡意交易。 美國的 GENIUS 法案(US GENIUS Act)於 2025 年 7 月 18 日簽署成法,並建立一套針對支付穩定幣的聯邦框架。 它不是針對每一座橋、交易所、錢包或 DeFi 協議的一般資安法規制度。 監管決定誰負責以及應存在哪些防護措施。安全工程則決定在這些防護措施作出反應之前,偽造訊息、遭入侵金鑰或惡意核准是否能執行。
要觀察到 2026 年餘下時間的重點 最終的 2026 安全圖景不應只用累積的標題式損失來判斷。
安全情報:關鍵指標
損失集中度
少數極端事件是否仍持續主導年度總額。
攻擊面
錢包、管理、雲端與基礎設施遭入侵,是否仍比程式碼漏洞利用更昂貴。
經過回收調整的損害
在凍結、償付與協商回收後,仍然缺失多少。
歸因品質
與國家支持團體的初步連結,是否有經過完成調查的支撐。
控制採用
協議是否在下一次重大攻擊之前導入獨立驗證、交易模擬、金鑰分離,以及可執行的經濟限制。
此排名是在 7 月 17 日編製的快照,不是全年的最終紀錄。幾乎還有 46% 的 2026 年餘下,且歷史損失數字可能會隨資產回收、代幣價格修正、先前未被識別的錢包,以及名目曝險與已實現竊取之間更清晰的區分而持續變動。 證據支持一個更狹義的結論:價值最高的事件愈來愈多是針對智慧合約周邊的控制系統,包括簽署者、裝置、RPC 基礎設施、特權服務與驗證網路,而不只是合約邏輯本身。
本文僅供教育用途。由於資產價格變動、資金回收、歸因修正,以及總曝險、已實現抽取與淨損失之間的差異,事件估值可能會變動。