h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Culture & Long-reads

Post-mortemets karakterbog: sådan bedømmer krypto sine hacks

Krypto har ingen domstol til at undersøge sine egne hacks, så branchen bedømmer sig selv gennem post-mortems. Sommerens nye sager, fra Summer.fi til BonkDAO, viser hvor forskelligt det går.

Klokken 05.17 UTC: tre måneders forberedelse blev til én transaktion

Den 6. juli 2026 klokken 05.17 UTC udløste en angriber en enkelt transaktion på Ethereum og trak på få sekunder omkring 6,04 mio. dollar (ca. 39,6 mio. kr.) ud af to USDC-bokse i DeFi-protokollen Summer.fi. Ifølge protokollens egen redegørelse slog overvågningsværktøjet Blockaid alarm 19 minutter senere, klokken 05.36, men først klokken 10.25 fik et såkaldt guardian-hold sat indskudslofterne til nul og lukket boksene helt. Der gik med andre ord næsten fem timer, fra pengene forsvandt, til blødningen for alvor stoppede.

Det påfaldende ved sagen er ikke kun tabet, som i kryptosammenhæng er relativt beskedent. Det er det, Summer.fi valgte at gøre bagefter. Inden for få dage lå der en teknisk redegørelse, som ikke bare forklarede, hvad der var gået galt, men også indrømmede noget ubehageligt: angriberen havde forberedt sig i omkring tre måneder ved gradvist at opbygge en beholdning af token fra Silo-hvælvet »Varlamore USDC Growth«, som stadig havde en forældet og kunstigt høj værdi tilbage fra Stream Finance-kollapset i november 2025. Ved at donere disse token ind i en delstrategi, en såkaldt Ark, som var lukket for nye indskud, men som stadig indgik i boksens opgørelse af aktiver, pustede angriberen den bogførte værdi op med omkring 9,5 procent uden at tilføre reel likviditet. Det gjorde det muligt at indløse andele til en kunstigt høj kurs, finansieret af et flash-lån på omkring 65 mio. dollar (426 mio. kr.). Grundårsagen, som Summer.fi selv formulerer den, var »en driftsfejl under udfasningen af en gammel strategi«, ikke en fejl i selve den smarte kontrakt.

Det er den slags dokument, der efterhånden har fået sit eget navn og sin egen etikette i krypto: et post-mortem. Ingen tilsynsmyndighed tvinger et decentraliseret protokolteam til at skrive en obduktionsrapport efter et hack. Alligevel er det blevet den ubestridte norm, og i 2026 er genren moden nok til, at man kan begynde at bedømme den systematisk: hvilke post-mortems er gode, hvilke er mangelfulde, og hvad adskiller dem helt konkret? Det er spørgsmålet, denne gennemgang forsøger at besvare, med afsæt i netop den uge i juli 2026, hvor branchen fik hele fire nye eksempler at øve karakterbogen på.

Hvad er et post-mortem, og hvorfor findes genren næsten kun i krypto?

Et post-mortem er en offentligt tilgængelig teknisk redegørelse for et hack, en fejl eller et nærved-uheld. Det beskriver typisk tidsforløbet minut for minut, den tekniske grundårsag, hvor mange midler der var i spil, og hvad protokollen gør bagefter. I traditionel finans foregår den slags undersøgelser som regel bag lukkede døre. Et pengeinstitut, der taber penge på en operationel fejl, indberetter til sin tilsynsmyndighed og orienterer i bedste fald kunderne i overordnede vendinger. Selv når en børsnoteret finansvirksomhed offentliggør en fejl, er teksten typisk formuleret af jurister med henblik på at minimere ansvar, ikke af ingeniører med henblik på at forklare den tekniske sandhed. Der findes sjældent et offentligt dokument, som en udenforstående kan læse, efterprøve og sammenligne med andre sager.

I krypto er situationen vendt på hovedet. Transaktionerne ligger allerede åbne på kæden, så det er ingen hemmelighed, at der skete et hack, kun hvorfor og hvordan. Og fordi protokoller i stigende grad er bygget oven på hinanden (et hvælv, der bruger et andet hvælvs token som sikkerhed, præcis som det skete hos Summer.fi), er et grundigt post-mortem ikke kun en høflighed over for egne brugere. Det er information, som andre protokoller aktivt har brug for til at vurdere deres egen eksponering. Tavshed koster typisk både tillid og kapital, fordi brugere trækker midler ud af protokoller, der ikke forklarer sig, uanset om de selv var ramt.

Resultatet er, at post-mortemet reelt er blevet en slags substitut for den retlige proces, der ellers ville findes i traditionel finans. Der er sjældent en domstol, der kan pålægge en anonym udviklergruppe et erstatningsansvar, og som det uddybes senere i denne artikel, dækker EU’s MiCA-forordning slet ikke fuldt decentraliserede DeFi-protokoller. Så når noget går galt, er det branchens eget sprog og sine egne normer, der afgør, om ofrene overhovedet får en forklaring, og i nogle tilfælde penge tilbage.

Fra obduktions-metafor til fast praksis: genrens historie

Genren har en anerkendt fødselsattest: Rekt.news, som siden 2020 har skrevet anonyme, næsten sortsindede nekrologer over hvert større hack og rangeret dem på et permanent leaderboard. Stilen er bevidst litterær, fyldt med galgenhumor og referencer til krypto-slang, men funktionen er alvorlig nok: et kollektivt hukommelsesarkiv og en skamstøtte på samme tid. Et projekt, der optræder på Rekt-leaderboardet, kan ikke længere lade, som om det aldrig skete, uanset hvor stille det ellers forsøger at være. HOGE Wire har tidligere beskrevet, hvordan denne obduktionskultur voksede frem omkring kryptoens største hacks.

Fra de tidlige, uformelle Discord-opslag og enkeltstående blogindlæg har genren siden udviklet sig til noget langt mere struktureret. Et moderne post-mortem, som Summer.fi’s fra juli 2026, indeholder minutopdelte tidslinjer, konkrete adresser på kæden, henvisninger til hvilke overvågningsværktøjer der reagerede hvornår, og ofte et helt katalog af eksterne samarbejdspartnere. Det er gået fra litterær nekrolog til noget, der minder mere om en havarirapport fra luftfarten: struktureret, faktuelt og med et eksplicit erklæret mål om at forhindre gentagelse, snarere end blot at dokumentere tabet.

Denne professionalisering betyder også, at et post-mortem i dag sjældent er én persons værk. Det er typisk resultatet af et samarbejde mellem protokollens eget team, overvågningsfirmaer, der reagerede i realtid, og forensiske specialister, der rekonstruerer pengestrømmen bagefter. Den arbejdsdeling vender vi tilbage til senere i artiklen.

Karakterbogen: fem kriterier for et godt post-mortem

Hvis man skal bedømme et post-mortem, som var det en eksamensopgave, tegner der sig fem kriterier ud fra de sager, denne artikel gennemgår. De handler sjældent om, hvor stort tabet var, men snarere om, hvordan protokollen håndterede situationen, efter pengene allerede var væk.

KriteriumHvad det viserEksempel på topkarakter
Tid til offentliggørelseHvor hurtigt protokollen går fra hack til forklaringSummer.fi (dage), Bybit (løbende live-opdateringer)
Gennemsigtighed om årsagOm forklaringen er teknisk ærlig, også når den er ubehageligSummer.fi (indrømmede tre måneders forberedelse)
BrugerkompensationOm ofrene holdes skadesløse eller efterlades med tabetEuler Finance (næsten alt returneret efter forhandling)
Kodefix og re-auditOm hullet lukkes for godt og verificeres uafhængigtAptos (patch inden for timer, offentlig pull request)
Forhandling og bountyOm der findes en klar, tryg vej for hackeren til at aflevere pengeneSEAL Whitehat Safe Harbor, Euler Finance

Ingen af de sager, der gennemgås i det følgende, scorer topkarakter på alle fem punkter samtidig. Bybit var hurtig og gennemsigtig, men har endnu ikke fået sporet alle midler hjem. Summer.fi var ærlig om en ubehagelig sandhed, men har ved denne artikels udarbejdelse endnu ikke besluttet, om brugerne bliver kompenseret. Euler Finance endte med næsten fuld tilbagebetaling, men kun fordi angriberen selv valgte at forhandle. Og Aptos-sagen scorer topkarakter på forebyggelse, netop fordi der aldrig blev noget hack at skrive et post-mortem om. Det er denne indbyrdes variation, sag for sag og kriterium for kriterium, der gør det meningsfuldt at sammenligne dem direkte.

Guldstandarden: Bybit og de 1,5 milliarder dollar

Den 21. februar 2025 mistede børsen Bybit omkring 1,5 mia. dollar (ca. 9,8 mia. kr.) i, hvad der stadig er det største krypto-hack nogensinde. FBI pegede senere på den nordkoreanske Lazarus-gruppe, også kaldt TraderTraitor, som gerningsmand. Angrebsvektoren var ikke en fejl i en smart kontrakt, men et forsyningskædeangreb mod brugerfladen i multisig-værktøjet Safe{Wallet}: ondsindet JavaScript-kode blev lagt ind på en S3-server bag app.safe.global den 19. februar og manipulerede, hvad underskriverne troede, de rent faktisk godkendte, da de trykkede accepter.

Det, der gjorde Bybit-sagen til en målestok for hele branchen, var ikke selve hacket, men reaktionen bagefter. Stifter og topchef Ben Zhou valgte det, mange sidenhen har kaldt radikal gennemsigtighed: løbende opdateringer, mens undersøgelsen stadig stod på, og offentliggørelse af foreløbige retsmedicinske rapporter fra både Sygnia og Verichains kun få dage efter hacket. Zhou lancerede samtidig en dusør på 140 mio. dollar (917 mio. kr.), fordelt mellem den, der kunne fastfryse midlerne, og den, der kunne spore dem videre. Som han udtalte ved lanceringen af dusørsitet: »We have assigned a team to dedicate to maintain and update this website, we will not stop until Lazarus or bad actors in the industry is eliminated. In the future we will open it up to other victims of Lazarus as well.«

Bybit demonstrerer, at hurtighed og åbenhed kan opbygge fornyet tillid, selv når tabet er enormt, og gerningsmanden formentlig aldrig bliver retsforfulgt i nogen dansk eller europæisk forstand. Til gengæld illustrerer sagen også grænserne for, hvad gennemsigtighed reelt kan opnå: langt fra alle de stjålne midler er sporet tilbage endnu, og ingen er blevet arresteret. Åbenhed erstatter ikke retfærdighed, men den er indtil videre det bedste substitut, branchen selv har fundet frem til.

On-chain-forhandling: Euler Finance og hackerens undskyldning

Et andet fast mønster i post-mortem-kulturen er den direkte forhandling med gerningsmanden, ført helt offentligt på kæden. I marts 2023 blev långivningsprotokollen Euler Finance ramt af et flash lån-angreb til omkring 197 mio. dollar (ca. 1,29 mia. kr.). Det usædvanlige skete bagefter: angriberen begyndte gradvist at sende midler tilbage og lagde undervejs en besked ind i selve transaktionen, hvor der stod »No intention of keeping what is not ours«. Euler-teamet forhandlede offentligt videre derfra, tilbød en dusør på 10 procent (omkring 19,7 mio. dollar, 129 mio. kr.), og stort set alle de tilbageværende midler endte med at blive returneret.

Sagen viser en anden dimension af genren, som sjældent nævnes: post-mortemet er ikke udelukkende bagudskuende. Det kan formuleres, mens forhandlingen stadig pågår, direkte i det medie, hvor pengene i forvejen ligger, altså blokkæden selv. I stedet for advokatbreve og retssager, der kan tage år, foregår forhandlingen som offentlige transaktionsbeskeder, som alle interesserede kan følge med i time for time. Det er en form for retfærdighed, der er lige så gennemsigtig, som den er uformel, og som slet ikke ville kunne lade sig gøre i et traditionelt finansielt system.

Sikkerhedsnettet: SEAL og Whitehat Safe Harbor

En del af grunden til, at whitehat-forhandlinger som Eulers overhovedet kan finde sted uden frygt for selv at blive retsforfulgt bagefter, er en juridisk konstruktion ved navn Whitehat Safe Harbor, udviklet af nonprofitorganisationen Security Alliance (SEAL). Aftalen er et ensidigt, juridisk bindende tilbud fra protokollens side: griber en whitehat-hacker ind under et aktivt angreb, returnerer vedkommende midlerne inden for 72 timer og består en KYC- og OFAC-kontrol, kan personen beholde en dusør på 10 procent, dog højst 1 mio. dollar (6,55 mio. kr.), uden at risikere en efterfølgende straffesag. Aftalen dækker nu over 68 mia. dollar (ca. 445 mia. kr.) på tværs af mere end 20 protokoller, heriblandt Uniswap, Aave, PancakeSwap, Pendle og Balancer.

Rammen er ikke opstået i et vakuum. Stifteren, sikkerhedsforskeren samczsun, har fortalt, at ideen udsprang direkte af krisestemningen under Nomad-bridgehacket i 2022, hvor et sikkerhedshul blev udnyttet af flere hundrede tilfældige brugere på samme tid: »It all started from the Nomad hack. The war room was stressful, and the security community collectively looked back and wondered, ‘how did we get to a point where random people felt comfortable stealing money from the bridge, but whitehats felt it was too risky to intervene?’« SEAL driver desuden en akut hotline, SEAL 911, som ifølge organisationen selv har været med til at redde over 150 mio. dollar (ca. 983 mio. kr.) fra igangværende angreb. Det var da også SEAL 911, der blev koblet på Summer.fi-sagen inden for det første døgn.

Ti år efter: The DAO og arven, der aldrig sluttede

Genrens urtekst er i virkeligheden ældre end selve ordet »post-mortem« i krypto-sammenhæng. I juni 2016 blev det tidlige investeringsfællesskab The DAO udsat for et reentrancy-angreb, hvor angriberen formåede at dræne omkring 3,6 mio. ether, dengang svarende til omkring en tredjedel af fondens samlede formue. Konsekvensen blev en hard fork af selve Ethereum ved blok 1.920.000, en beslutning der stadig deler blockchain-verdenen i Ethereum og Ethereum Classic den dag i dag. Det var formentlig det første eksempel på, at en hel kæde bevidst ændrede sin egen historie for at rette op på et hack, og debatten om, hvorvidt det var den rigtige beslutning, kører fortsat.

Ti år efter fik sagen en uventet efterdønning. I januar 2026 blev det annonceret, at over 75.000 uafhentede ether fra 2016-tilbagebetalingen, til en værdi af over 220 mio. dollar (ca. 1,44 mia. kr.), skulle aktiveres som en ny »TheDAO Security Fund«. Omkring 69.420 ether fra den oprindelige ExtraBalance-kontrakt bliver nu staket for at generere et løbende afkast på omkring 8 mio. dollar (52 mio. kr.) om året, som uddeles til sikkerhedsprojekter gennem kvadratisk finansiering. Fonden ledes af syv kuratorer, blandt andre Ethereum-medstifter Vitalik Buterin, sikkerhedsforskeren Taylor Monahan og Griff Green, som selv deltog i den oprindelige redningsaktion omkring DAO’en i 2016. Green har beskrevet formuen som en, der har »stuck in a rut for the last six years«, altså har ligget ubrugt hen i årevis, før den nu endelig sættes i arbejde.

Cirklen er på den måde næsten sluttet: det hack, der i sin tid skabte behovet for offentlig regnskabsaflæggelse i krypto, finansierer nu, ti år senere, en del af den infrastruktur, der skal forhindre den næste tilsvarende katastrofe. Det er nok det tydeligste bevis på, at post-mortem-kulturen ikke længere kun er en skik blandt udviklere, men en selvforstærkende institution med sin egen økonomi.

Sommerens stresstest: fire sager på én uge

Hvor godt genren rent faktisk fungerer i praksis, kunne man i juli 2026 studere på nærmest laboratorievis. Inden for blot én uge, fra 5. til 11. juli, blev mindst fire protokoller ramt, og de reagerede på fire indbyrdes meget forskellige måder. CryptoTimes opgjorde tabet fra tre af sagerne, BonkDAO, Bonzo Lend og Summer.fi, til over 35 mio. dollar (229 mio. kr.), og det var, før Hedera-hacket samme uge overhovedet blev lagt oveni.

BonkDAO mistede omkring 20 mio. dollar (131 mio. kr.) i BONK-token, ikke til en kodefejl, men til en decideret governance-overtagelse. En angriber opbyggede for omkring 4 mio. dollar (26 mio. kr.) BONK via børser, opnåede dermed dominerende stemmevægt og fik et forslag, kaldet »BIP #76 Sowellian BonkDAO«, vedtaget over seks dage på Solana-platformen Realms, stort set uden modstand. Kun 7 adresser stemte ud af over 18.000 stemmeberettigede tegnebøger, og angriberens egne tegnebøger stod alene for 99,878 procent af de afgivne stemmer. BonkDAO har meldt sagen til politiet, men ved ugens udgang var ingen midler fastfrosset, og der forelå ingen kompensationsplan overhovedet. Sagen er et skoleeksempel på, hvordan lavt fremmøde i on-chain-afstemninger reelt kan gøre selve beslutningsprocessen til angrebsfladen, et tema HOGE Wire også har berørt i en gennemgang af DAO-governance som magtkamp.

Bonzo Lend mistede omkring 9 mio. dollar (59 mio. kr.), da en tredjeparts orakel, Supra, leverede en prisopdatering for token SAUCE, der var kunstigt oppustet med omkring 12 størrelsesordener og oven i købet bar en nulstillet frem for en gyldig signatur. Med blot 250 SAUCE, til en værdi af omkring én dollar, som sikkerhed formåede angriberen at låne omkring 9 mio. dollar. Supra erkendte fejlen og rullede en rettelse ud samme dag, og en whitehat, der nåede at låne omkring 1 mio. dollar via samme hul, lovede efterfølgende at tilbagelevere pengene.

Og så er der Hedera, hvor angribere den 11. juli trak over 5,8 mio. dollar (38 mio. kr.) ud af netværket. Efterforskerne Specter og PeckShield kunne hurtigt spore, hvordan midlerne blev broet videre til Ethereum via LayerZero og konverteret fra wrapped bitcoin til ether, men ved denne artikels udarbejdelse havde Hedera stadig ikke udsendt nogen officiel forklaring. Det er selve fraværet af et post-mortem, der er interessant her: uden en redegørelse ved hverken almindelige brugere eller andre protokoller, om de bør trække deres eksponering tilbage, eller om hullet allerede er lukket for godt.

SagDato (2026)TabGrundårsagStatus ved ugens udgang
Summer.fi6. julica. 6,04 mio. dollar (39,6 mio. kr.)Driftsfejl i en offboardet »Ark«, ikke kodeGovernance behandler kompensation
BonkDAO6. julica. 20 mio. dollar (131 mio. kr.)Governance-overtagelse ved lavt fremmødePolitianmeldt, ingen kompensation
Bonzo Lend11. julica. 9 mio. dollar (59 mio. kr.)Fejlbehæftet eksternt orakel (Supra)Delvis whitehat-tilbagelevering
Hedera11. juliover 5,8 mio. dollar (38 mio. kr.)Ikke offentliggjortIntet post-mortem endnu

Fire sager, samme uge, fire vidt forskellige karakterer. Summer.fi og Bonzo Lend forklarede i det mindste nogenlunde hurtigt, hvad der var sket, og hvem eller hvad der bar skylden. BonkDAO og Hedera efterlod, ved ugens udgang, næsten kun tavshed tilbage. Det er netop denne spredning, der gør karakterbogen meningsfuld i praksis: et post-mortem er ikke en formalitet, som alle består automatisk, blot fordi de skriver noget.

Undtagelsen, der bekræfter reglen: post-mortemet, der aldrig blev skrevet

Ikke alle sikkerhedshistorier i 2026 ender med en obduktion, og det er værd at fremhæve årets mest markante undtagelse. I februar 2026 fandt sikkerhedsfirmaet Hexens, ved teknisk direktør Vahe Karapetyan, en alvorlig fejl i Move, den virtuelle maskine, der driver Aptos-blockchainen. Fejlen var en såkaldt stale cache-fejl, der i teorien kunne forveksle én on-chain-ressource med en anden, med en estimeret succesrate på omkring 90 procent, hvis den blev udnyttet. Aptos’ egen TVL i risikozonen blev vurderet til omkring 250 mio. dollar (ca. 1,64 mia. kr.), men fordi fejlen potentielt kunne bruges til at minte enorme mængder USDC via Circles Cross-Chain Transfer Protocol og derfra sprede sig videre til broer, stablecoins og børser i store dele af økosystemet, anslog CoinDesk den samlede systemiske risiko til omkring 70 mia. dollar (ca. 459 mia. kr.).

Fejlen blev anmeldt gennem interne nødprocedurer den 25. februar, og Aptos Labs udviklede, testede og udrullede en rettelse til mainnet i løbet af blot få timer, siden bekræftet offentligt i en pull request to dage senere. Som Aptos Labs selv formulerede det: »A fix was developed, tested, and deployed to mainnet within hours of discovery. No users or funds were impacted at any point.« Der var med andre ord intet at obducere bagefter, fordi patienten aldrig nåede at blive syg.

Det er selve pointen med at tage undtagelsen med. Et vellykket, ansvarligt varslingsforløb genererer sjældent nogen dramatisk fortælling, ingen plads på Rekt.news’ leaderboard og langt færre overskrifter end et faktisk gennemført hack. Alligevel er den slags stille succeshistorier sandsynligvis langt hyppigere, end de tab, der ender i de kvartalsvise opgørelser. Problemet er bare, at de er svære at måle præcist, netop fordi de ikke efterlader noget post-mortem at analysere bagefter.

Retsmedicinerne: firmaerne bag obduktionerne

Bag stort set hvert eneste post-mortem, der er nævnt i denne artikel, ligger et lag af specialiserede firmaer, som de færreste uden for branchen kender navnet på. Det er en gren af sikkerhedsindustrien, der næppe fandtes for ti år siden, og som i dag fungerer som en slags privat, decentraliseret pendant til de retsmedicinske institutter, politiet normalt trækker på i andre brancher. I de sager, denne artikel gennemgår, optræder blandt andre:

  • Sygnia og Verichains, som stod for den retsmedicinske undersøgelse efter Bybit-hacket
  • SEAL 911, Blockaid, CertiK, PeckShield og Cyvers, som alle reagerede på Summer.fi-hacket inden for timer
  • Specter og PeckShield, som sporede de bortførte midler fra Hedera-hacket
  • TRM Labs, som leverer de kvartalsvise brancheopgørelser over hackenes samlede omfang

Arbejdet er i høj grad muliggjort af, at blokkæden i sig selv er et permanent og offentligt tilgængeligt bevismateriale. Enhver kan i princippet spore en transaktion, men det kræver specialiseret værktøj og betydelig erfaring at gøre det hurtigt nok til, at sporingen faktisk kan bruges til at fastfryse midler, før de vaskes gennem mixere som Tornado Cash. HOGE Wire har tidligere set nærmere på, hvordan denne form for on-chain-efterforskning er blevet en hel disciplin i sig selv. Uden den infrastruktur ville de fleste post-mortems, Summer.fis iberegnet, mangle deres vigtigste kapitel: hvor pengene reelt blev af bagefter.

Nordkorea-faktoren: fra kodefejl til nøgletyveri

TRM Labs’ opgørelse for første halvår af 2026 tegner et billede, der understøtter, hvorfor post-mortems er blevet så centrale. Branchen registrerede et rekordhøjt antal på 207 hændelser, men det samlede tab, 972 mio. dollar (ca. 6,37 mia. kr.), var faktisk et fald sammenlignet med første halvår af 2025, hvor Bybit-hacket alene fyldte 1,5 mia. dollar i statistikken. Nordkoreanske grupper stod ifølge TRM Labs for omkring 643 mio. dollar, svarende til to tredjedele af det samlede tab i årets første seks måneder.

Det virkelig interessante tal ligger dog et niveau dybere. Klassiske fejl i smarte kontrakter udgjorde 125 af de 207 hændelser, altså langt størstedelen af det samlede antal sager, men kun en mindre del af den samlede tabte værdi. Omvendt stod kompromitteringer af nøgler, custody-systemer og underskriftsinfrastruktur for blot omkring 15 procent af hændelserne, men for hele 76 procent af de stjålne værdier. Bybit-hacket, med sit angreb mod selve brugerfladen frem for kontrakten, var det tidligste og suverænt største eksempel på præcis den forskydning.

Forskydningen har konkrete konsekvenser for, hvad et godt post-mortem overhovedet skal indeholde fremover. En revisionsrapport af en smart kontrakt hjælper ikke synderligt, hvis hullet reelt sad i en medarbejders bærbare computer eller i en UI-afhængighed hostet på en ekstern server, som det skete hos Bybit. De bedste post-mortems i 2026 dækker derfor bredere end blot kode: de forklarer også operationel sikkerhed, adgangsstyring og de menneskelige led i kæden, præcis der, hvor Nordkorea i stigende grad retter sit fokus hen.

Reguleringens blinde vinkel: MiCA, Finanstilsynet og DeFi

I Danmark er det Finanstilsynet, der som national kompetent myndighed under EU’s MiCA-forordning fører tilsyn med udbydere af kryptoaktivtjenester, de såkaldte CASP’er, og som har udstedt de danske MiCA-tilladelser siden reglerne trådte i kraft. MiCA giver et vist civilretligt fundament, hvis man har været kunde hos en centraliseret, licenseret udbyder: der stilles krav om kapitalgrundlag, forsvarlig forvaring af kundemidler og en reel klageadgang, hvis noget går galt.

Tilsynet har allerede vist, at det tager MiCA-licensering alvorligt: i foråret 2026 godkendte Finanstilsynet blandt andet Danske Penning som en af de første danske CASP-tilladelser, og flere udbydere, heriblandt Firi, er undervejs i samme proces. Men licensen ændrer intet for en bruger, der i stedet vælger at lægge sin likviditet i en DeFi-protokol uden dansk hjemsted. MiCA gælder nemlig ikke for fuldt decentraliserede protokoller uden en identificerbar udbyder bag sig, og det er netop DeFi-protokoller som Summer.fi, Bonzo Lend og BonkDAO, der har udgjort hovedparten af sommerens sager. En bruger, der mister penge i den slags protokol, kan ikke klage til Finanstilsynet, simpelthen fordi der ikke findes nogen dansk eller europæisk modpart at klage over. EU-Kommissionen har varslet et separat regelsæt målrettet DeFi, men det ventes tidligst at træde i kraft i 2027 eller 2028.

Så længe det hul i lovgivningen består, er post-mortemet ikke bare god skik. Det er reelt den eneste form for regnskabsaflæggelse, en almindelig DeFi-bruger med rimelighed kan forvente at få overhovedet. Det forklarer også, hvorfor karakterbogen i denne artikel fokuserer på adfærd frem for jura: der findes ingen dommer at spørge til råds, kun protokollens eget ord og egen vilje til at forklare sig.

Kritikken og fremtiden: er selvjustits nok?

Kritikken af hele systemet er ikke svær at formulere. Et post-mortem er i sidste ende et dokument, som protokollen selv skriver om sig selv, og der findes ingen uafhængig instans, der kontrollerer, om det rent faktisk er fuldstændigt eller ærligt. BonkDAO-sagen fra juli 2026 illustrerer risikoen tydeligt: uden ekstern kompensation eller retslig konsekvens kan et team i teorien nøjes med at beklage kort og gå videre. Der er heller ingen garanti for, at selv et velskrevet post-mortem fører til, at brugerne rent faktisk får deres penge igen. HOGE Wire har tidligere diskuteret netop disse spændinger i en gennemgang af, hvad der reelt sker, når protokoller lukker ned efter et hack.

Alligevel peger udviklingen samlet set i retning af mere struktur, ikke mindre. Fremkomsten af faste skabeloner, tidsstemplede logs, faste samarbejdspartnere som SEAL 911 og forensiske firmaer, og nu også en fond som TheDAO Security Fund, der aktivt finansierer sikkerhedsarbejde fremadrettet, minder om, hvordan andre højrisikobrancher historisk har professionaliseret deres egen selvransagelse. Luftfarten har sine havarikommissioner. Krypto har, i mangel af en tilsvarende offentlig myndighed, bygget sin egen version nedefra, drevet af forskere, dusører og et vedvarende kollektivt pres for gennemsigtighed.

Om ti år vil sommerens fire sager formentlig være glemt af de fleste udenforstående. Men mønsteret, de efterlod sig, det tydelige spring mellem protokoller, der forklarer sig ordentligt, og protokoller, der blot tier, er sandsynligvis det, der i sidste ende afgør, om den næste generation af DeFi-brugere overhovedet tør blive, når det næste hack rammer.

Ofte stillede spørgsmål

Hvad er et post-mortem i krypto?

Et post-mortem er en offentlig, teknisk redegørelse, som et protokolteam udgiver efter et hack, en fejl eller et nærved-uheld. Den beskriver typisk tidsforløbet time for time eller minut for minut, den tekniske grundårsag, hvor mange midler der var i spil, og hvilke konkrete skridt der tages for at forhindre gentagelse og eventuelt kompensere de brugere, der led et tab.

Er krypto-protokoller juridisk forpligtet til at offentliggøre et post-mortem?

Nej, der findes ingen generel juridisk pligt. Centraliserede udbydere, der er omfattet af MiCA og fører tilsyn under myndigheder som Finanstilsynet, har visse indberetningsforpligtelser over for tilsynet selv, men for fuldt decentraliserede DeFi-protokoller uden en identificerbar juridisk udbyder findes der ingen lovkrav om at offentliggøre noget som helst. Praksissen er udelukkende en selvpålagt branchenorm.

Hvad er SEAL’s Whitehat Safe Harbor, og hvordan hjælper det ofre for hacks?

Det er en juridisk ramme fra nonprofitorganisationen Security Alliance (SEAL), som protokoller kan tilslutte sig på forhånd. Rammen giver whitehat-hackere lov til at gribe aktivt ind under et igangværende angreb og redde truede midler mod at beholde en dusør på op til 10 procent, dog højst 1 mio. dollar, hvis pengene returneres inden for 72 timer og personen består en KYC- og OFAC-kontrol, uden at skulle frygte en efterfølgende straffesag.

Hvorfor er Nordkorea involveret i så mange krypto-hacks?

Ifølge analysefirmaet TRM Labs stod nordkoreanske hackergrupper for omkring to tredjedele af den samlede stjålne værdi i krypto i første halvår af 2026, primært gennem kompromittering af nøgler, custody-systemer og underskriftsinfrastruktur snarere end klassiske fejl i smarte kontrakter. Midlerne mistænkes for at finansiere landets våbenprogrammer, hvilket gør angrebene mere systematiske og bedre finansierede end typisk kriminel hacking.

Kan man få sine penge tilbage, hvis en DeFi-protokol bliver hacket?

Det afhænger helt af den enkelte sag. Nogle hændelser, som Euler Finance i 2023, er endt med, at næsten alle midler blev returneret efter en direkte on-chain-forhandling med angriberen selv. Andre sager, som BonkDAO i juli 2026, har ved offentliggørelsen efterladt ofrene helt uden en kompensationsplan. Fordi DeFi falder uden for MiCA’s dækningsområde, er der ingen tilsynsmyndighed at klage til, hvis en protokol vælger slet ikke at kompensere sine brugere.

Skrevet af HOGE Wires redaktion.

Share 𝕏 Post Telegram