h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Culture & Long-reads

Når protokoller dør: kulturen bag kryptos post-mortems

Fra The DAO til Bybit har krypto gjort katastrofer til offentlige obduktioner. Vi ser på kulturen bag protokol-post-mortems, og hvad de betyder for danske investorer.

Der findes et ritual i krypto, som ingen anden branche har helt magen til. Når en protokol bliver drænet for penge, går der sjældent mere end nogle timer, før et dokument dukker op: post-mortem’en. Det er en offentlig obduktion, ofte skrevet mens midlerne stadig bevæger sig rundt på kæden, og den beskriver i teknisk detalje, præcis hvordan angrebet lykkedes.

Kulturen omkring disse obduktioner er blevet et af de mest særegne træk ved decentraliseret finans. Hvor en traditionel bank helst tier om et sikkerhedsbrud, indtil advokaterne er færdige, lægger mange DeFi-hold hele katastrofen frem på GitHub, i governance-fora og på X inden for det første døgn. Her ser vi på, hvordan den kultur opstod, hvad en brugbar post-mortem indeholder, og hvorfor den også er blevet relevant for danske investorer og for Finanstilsynet.

Hvad er en protokol-post-mortem?

Begrebet er lånt fra almindelig softwaredrift, hvor især Googles ingeniører gjorde den blameless post-mortem til standard: man beskriver, hvad der gik galt, uden at hænge en enkelt medarbejder ud, så hele organisationen kan lære af det. I krypto har formatet fået en ekstra dimension, fordi alt foregår på en offentlig blockchain. Enhver kan følge angriberens transaktioner i realtid, og derfor giver det sjældent mening at skjule noget. Beviset ligger allerede på kæden. Netop fordi rapporten bliver læst af tusindvis af kritiske øjne, er der en indbygget tilskyndelse til at få detaljerne rigtige første gang.

En protokol-post-mortem forklarer typisk fire ting: hvornår angrebet skete, hvilken kodefejl der blev udnyttet, hvor pengene tog hen, og hvad holdet gør ved det. De bedste eksempler læses nærmest som en retsmedicinsk rapport, komplet med bloknumre, transaktions-hashes og uddrag af den sårbare kode. Sider som rekt.news har opbygget en hel genre ud af at samle dem, og deres liste over de dyreste hændelser fungerer efterhånden som et uofficielt hukommelsesarkiv for branchen. For et ungt projekt er en ærlig obduktion ofte den hurtigste vej tilbage til troværdighed, mens tavshed eller en hastigt slettet tråd som regel gør skaden værre.

Fra The DAO til Bybit: en kort historie

Den moderne krypto-post-mortem blev født i juni 2016, da The DAO, en tidlig investeringsfond bygget på Ethereum, blev tømt for 3,6 millioner ETH gennem en såkaldt reentrancy-fejl. Ethereums medstifter Vitalik Buterin lagde samme dag en kritisk opdatering ud på Ethereum-bloggen, og sagen endte med et hard fork, der splittede kæden i Ethereum og Ethereum Classic. Det satte tonen: et angreb var ikke bare et tab, men en offentlig begivenhed, som hele fællesskabet måtte tage stilling til.

Næste kapitel kom i 2017, da en fejl i Paritys multisig-tegnebøger fik omkring en halv million ETH til at fryse fast for altid, fordi en enkelt bruger ved et uheld udløste en self-destruct i en delt kodekomponent. Sommeren 2020, som mange døbte DeFi summer, gav en stribe hændelser med flash loan-angreb mod protokoller som bZx og Harvest Finance, og hver af dem føjede et nyt kapitel til den fælles læsebog. Med bro-æraen i 2021 og 2022 tog det for alvor fart: Poly Network, Ronin, Wormhole og Nomad blev alle drænet for hundredvis af millioner dollars. I februar 2025 nåede genren et nyt lavpunkt, da børsen Bybit mistede omkring 9,8 milliarder kroner i det, der ifølge børsens egen hændelsesredegørelse bredt regnes for historiens største kryptotyveri.

Anatomien i en god obduktion

Efter snart ti år med hændelser er der opstået en uskreven skabelon for, hvad en troværdig post-mortem skal indeholde. De hold, der følger den, genvinder tilliden hurtigere; de, der springer punkter over, bliver flået i kommentarsporet.

  • Tidslinje: præcise tidspunkter og bloknumre for hver fase af angrebet.
  • Årsag: den konkrete kodefejl, gerne med et uddrag af den sårbare funktion.
  • Pengestrøm: en sporing af, hvor de stjålne midler tog hen, ofte lavet af en blockchain-analysevirksomhed.
  • Øjeblikkelig respons: hvordan og hvornår protokollen blev sat på pause.
  • Genopretning: en plan for at kompensere brugerne og lukke hullet.
  • Læring: hvad der konkret ændres, så samme fejl ikke kan gentage sig.

Tonen betyder også noget. De mest respekterede obduktioner undgår at pege fingre og fokuserer på systemet frem for på den enkelte, der skrev den fejlbehæftede linje kode. Det er den samme blameless-tankegang, som resten af softwarebranchen bruger, og den virker, fordi den tilskynder folk til at være ærlige om, hvad der faktisk skete.

De store sager i tal

Tabellen nedenfor samler nogle af de hændelser, der har formet post-mortem-kulturen. Tabene er omregnet til danske kroner efter en kurs på omkring 6,56 kroner per dollar; de fleste tal er skøn, fordi værdien af de stjålne tokens svingede kraftigt undervejs. Et mønster springer i øjnene: broerne mellem kæder står for de allerstørste enkelttab, fordi de samler enorme mængder værdi ét sted og ofte hviler på ganske få nøgler.

HændelseÅrTab (ca.)ÅrsagUdfald
The DAO20163,6 mio. ETHReentrancyHard fork, ETH/ETC-splittelse
Parity multisig2017~500.000 ETH låstSelf-destruct i delt kodeMidler frosset permanent
Poly Network2021~4,0 mia. kr.Fejl i cross-chain-kontraktNæsten alt returneret
Ronin Bridge2022~4,1 mia. kr.Kompromitterede validator-nøglerSky Mavis dækkede tabet; OFAC-sanktion
Wormhole2022~2,1 mia. kr.Fejl i signaturverificeringJump Crypto genopfyldte kassen
Nomad Bridge2022~1,2 mia. kr.Fejlagtig initialiseringFrit slag for alle; delvist returneret
Mango Markets2022~770 mio. kr.Oracle-manipulationAngriber retsforfulgt i USA
Euler Finance2023~1,3 mia. kr.Fejl i likviditetslogikNæsten alt returneret
Curve Finance2023~460 mio. kr.Fejl i Vyper-compilerDelvist reddet af white hats
Bybit2025~9,8 mia. kr.Kompromitteret signeringsflowStørste tyveri nogensinde; Lazarus

Når hackeren forhandler tilbage

En af de mærkeligste sider ved post-mortem-kulturen er, at gerningsmanden nogle gange selv bliver en del af historien. I august 2021 tømte en angriber Poly Network for aktiver til en værdi af omkring 4 milliarder kroner på tværs af flere kæder, kun for at sende næsten det hele tilbage i løbet af få dage. Personen, som holdet halvt i spøg døbte Mr. White Hat, indlejrede endda spørgsmål og svar direkte i transaktionerne på kæden.

Det samme mønster gentog sig med Euler Finance i marts 2023. Efter et angreb på cirka 1,3 milliarder kroner brugte holdet dagevis på at kommunikere med angriberen gennem beskeder skrevet ind i transaktioner, og til sidst returnerede vedkommende stort set alle midlerne. Fordi det meste var vekslet til ETH, som steg i mellemtiden, endte protokollen ifølge sin egen post-mortem med at få mere tilbage, end den mistede, og alle inddrivelige midler var på plads inden for tre uger. Den slags on-chain-forhandling er blevet et fast element, blandt andet fordi mange protokoller tilbyder en dusør på op til 10 procent til white hats. For en angriber kan en lovlig belønning nogle gange være mere attraktiv end en jagt fra myndighederne.

Lazarus og de statslige angribere

Ikke alle angribere er til at forhandle med. En voksende del af de allerstørste tyverier tilskrives Lazarus Group, en hackerenhed knyttet til den nordkoreanske stat. Da Ronin Bridge blev drænet for omkring 4,1 milliarder kroner i marts 2022, koblede amerikanske myndigheder hurtigt angrebet til gruppen og satte den relevante wallet-adresse på sanktionslisten. Det samme mønster gik igen ved Bybit-tyveriet i 2025.

Blockchain-analysehuset Chainalysis anslår, at nordkoreansk-tilknyttede grupper har stjålet milliarder af dollars i krypto over de seneste år, ofte for at finansiere statens våbenprogrammer. Det ændrer karakteren af post-mortem’en fuldstændigt. Når modparten er en sanktioneret statslig aktør, er der ingen dusør at forhandle om, og fokus flytter sig fra genopretning til efterforskning, sanktioner og forsøg på at spore midlerne, før de forsvinder gennem miksere og kædehop. For hele branchen betød det, at obduktionerne begyndte at handle lige så meget om nøglehåndtering, indbrud på udviklermaskiner og social manipulation som om ren smart contract-kode.

Governance-forummet som skadestue

Når en decentral protokol bliver ramt, er der sjældent en bestyrelse, der bare kan træde sammen. I stedet bliver governance-forummet til en improviseret skadestue. På fora som Curves governance-side kan token-indehavere stille nødforslag, stemme om at bruge protokollens reserver til at kompensere ofre og koordinere med white hats, alt sammen i fuld offentlighed. Modellen er ikke opfundet til lejligheden; den bygger på de samme afstemninger, som ellers bruges til at justere gebyrer og parametre, blot afviklet under hårdt tidspres.

Curve-sagen fra juli 2023 viste både styrken og skrøbeligheden i den model. En fejl i tre ældre versioner af programmeringssproget Vyper, som ligger frit tilgængeligt på projektets GitHub, satte en reentrancy-lås ud af kraft og ramte flere likviditetspuljer på én gang. Det oprindelige tab på omkring 460 millioner kroner blev mindre, da white hats nåede at redde en del af midlerne først. Samtidig havde grundlæggeren store lån med CRV-token som sikkerhed, og et kraftigt kursfald kunne have udløst en kaskade af tvangssalg. Krisen blev afværget gennem en række aftaler indgået i det åbne, men den mindede alle om, hvor tæt teknisk risiko og markedsrisiko hænger sammen.

Hvad siger Finanstilsynet og MiCA?

For danske investorer er det store spørgsmål, om nogen myndighed overhovedet holder øje. Med EU’s MiCA-forordning (forordning (EU) 2023/1114) er udbydere af kryptoaktivtjenester nu forpligtet til at rapportere alvorlige hændelser og leve op til krav om driftsmæssig robusthed. I Danmark er det Finanstilsynet, der fører tilsyn med de selskaber, der har tilladelse efter reglerne.

Men der er en gråzone. MiCA er skrevet til identificerbare udbydere, ikke til fuldt decentrale protokoller uden et selskab bag. Oven i MiCA kommer DORA, EU’s regler for digital driftsstabilitet, som kræver, at finansielle aktører indberetter alvorlige it-hændelser inden for korte frister. Alligevel er grænsen mellem, hvornår noget falder under de nye regler, og hvornår ældre rammer som MiFID II er mere relevante, stadig til diskussion blandt jurister. Indtil den er trukket skarpere op, fungerer den offentlige post-mortem ofte som den eneste reelle oplysning, investorerne får. Et velskrevet obduktionsdokument er ikke det samme som en tilsynsrapport, men i praksis er det tit alt, man har at gå efter.

Hvad danske investorer kan lære

Den vigtigste lektie er, at post-mortems er gratis undervisning. Før du lægger penge i en protokol, kan det betale sig at læse, om den har været ramt før, og hvordan holdet reagerede. Et projekt, der har skrevet en ærlig obduktion og kompenseret sine brugere, har vist noget om sin karakter; et projekt, der forsøgte at feje sagen ind under gulvtæppet, har også vist noget.

  • Undersøg, om koden er blevet auditeret, og af hvem, men husk at et audit aldrig er en garanti.
  • Vær ekstra varsom med broer mellem kæder; de har historisk været de dyreste enkeltmål.
  • Regn ikke med, at stjålne midler bliver returneret. Det sker, men langtfra altid.
  • Overvej selv-forvaring frem for at lade større beløb ligge på en platform, du ikke selv kontrollerer.
  • Spred risikoen, og invester kun det, du kan tåle at tabe, uanset hvor solid en protokol ser ud.

Post-mortem-kulturen er på mange måder det bedste ved krypto: en branche, der tvinges til at lære i fuld offentlighed, fordi beviserne ligger på kæden for alle at se. Prisen for den åbenhed er, at hver eneste fejl bliver et permanent dokument. For investorer med adgang til CoinGecko og en smule tålmodighed er de dokumenter en af de mest undervurderede kilder til viden, der findes. De aktuelle priser står i kurstabellen; den egentlige risiko gør sjældent. Jo flere obduktioner man har læst, jo bedre bliver man til at genkende de røde flag, længe før pengene forsvinder.

Af HOGE Wire-redaktionen. Denne artikel er journalistik og ikke investeringsrådgivning.

Share 𝕏 Post Telegram