{"id":130,"date":"2026-07-02T12:50:30","date_gmt":"2026-07-02T12:50:30","guid":{"rendered":"https:\/\/hoge.gg\/dk\/naar-protokoller-doer-kryptos-post-mortems\/"},"modified":"2026-07-02T12:50:30","modified_gmt":"2026-07-02T12:50:30","slug":"naar-protokoller-doer-kryptos-post-mortems","status":"publish","type":"post","link":"https:\/\/hoge.gg\/dk\/naar-protokoller-doer-kryptos-post-mortems\/","title":{"rendered":"N\u00e5r protokoller d\u00f8r: kulturen bag kryptos post-mortems"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Der findes et ritual i krypto, som ingen anden branche har helt magen til. N\u00e5r en protokol bliver dr\u00e6net for penge, g\u00e5r der sj\u00e6ldent mere end nogle timer, f\u00f8r et dokument dukker op: post-mortem&#8217;en. Det er en offentlig obduktion, ofte skrevet mens midlerne stadig bev\u00e6ger sig rundt p\u00e5 k\u00e6den, og den beskriver i teknisk detalje, pr\u00e6cis hvordan angrebet lykkedes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kulturen omkring disse obduktioner er blevet et af de mest s\u00e6regne tr\u00e6k ved decentraliseret finans. Hvor en traditionel bank helst tier om et sikkerhedsbrud, indtil advokaterne er f\u00e6rdige, l\u00e6gger mange DeFi-hold hele katastrofen frem p\u00e5 GitHub, i governance-fora og p\u00e5 X inden for det f\u00f8rste d\u00f8gn. Her ser vi p\u00e5, hvordan den kultur opstod, hvad en brugbar post-mortem indeholder, og hvorfor den ogs\u00e5 er blevet relevant for danske investorer og for Finanstilsynet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hvad er en protokol-post-mortem?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Begrebet er l\u00e5nt fra almindelig softwaredrift, hvor is\u00e6r Googles ingeni\u00f8rer gjorde den blameless post-mortem til standard: man beskriver, hvad der gik galt, uden at h\u00e6nge en enkelt medarbejder ud, s\u00e5 hele organisationen kan l\u00e6re af det. I krypto har formatet f\u00e5et en ekstra dimension, fordi alt foreg\u00e5r p\u00e5 en offentlig blockchain. Enhver kan f\u00f8lge angriberens transaktioner i realtid, og derfor giver det sj\u00e6ldent mening at skjule noget. Beviset ligger allerede p\u00e5 k\u00e6den. Netop fordi rapporten bliver l\u00e6st af tusindvis af kritiske \u00f8jne, er der en indbygget tilskyndelse til at f\u00e5 detaljerne rigtige f\u00f8rste gang.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En protokol-post-mortem forklarer typisk fire ting: hvorn\u00e5r angrebet skete, hvilken kodefejl der blev udnyttet, hvor pengene tog hen, og hvad holdet g\u00f8r ved det. De bedste eksempler l\u00e6ses n\u00e6rmest som en retsmedicinsk rapport, komplet med bloknumre, transaktions-hashes og uddrag af den s\u00e5rbare kode. Sider som <a href=\"https:\/\/rekt.news\/leaderboard\/\">rekt.news<\/a> har opbygget en hel genre ud af at samle dem, og deres liste over de dyreste h\u00e6ndelser fungerer efterh\u00e5nden som et uofficielt hukommelsesarkiv for branchen. For et ungt projekt er en \u00e6rlig obduktion ofte den hurtigste vej tilbage til trov\u00e6rdighed, mens tavshed eller en hastigt slettet tr\u00e5d som regel g\u00f8r skaden v\u00e6rre.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Fra The DAO til Bybit: en kort historie<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den moderne krypto-post-mortem blev f\u00f8dt i juni 2016, da The DAO, en tidlig investeringsfond bygget p\u00e5 Ethereum, blev t\u00f8mt for 3,6 millioner ETH gennem en s\u00e5kaldt reentrancy-fejl. Ethereums medstifter Vitalik Buterin lagde samme dag en <a href=\"https:\/\/blog.ethereum.org\/2016\/06\/17\/critical-update-re-dao-vulnerability\">kritisk opdatering<\/a> ud p\u00e5 Ethereum-bloggen, og sagen endte med et hard fork, der splittede k\u00e6den i Ethereum og Ethereum Classic. Det satte tonen: et angreb var ikke bare et tab, men en offentlig begivenhed, som hele f\u00e6llesskabet m\u00e5tte tage stilling til.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">N\u00e6ste kapitel kom i 2017, da en fejl i Paritys multisig-tegneb\u00f8ger fik omkring en halv million ETH til at fryse fast for altid, fordi en enkelt bruger ved et uheld udl\u00f8ste en self-destruct i en delt kodekomponent. Sommeren 2020, som mange d\u00f8bte DeFi summer, gav en stribe h\u00e6ndelser med flash loan-angreb mod protokoller som bZx og Harvest Finance, og hver af dem f\u00f8jede et nyt kapitel til den f\u00e6lles l\u00e6sebog. Med bro-\u00e6raen i 2021 og 2022 tog det for alvor fart: Poly Network, Ronin, Wormhole og Nomad blev alle dr\u00e6net for hundredvis af millioner dollars. I februar 2025 n\u00e5ede genren et nyt lavpunkt, da b\u00f8rsen Bybit mistede omkring 9,8 milliarder kroner i det, der if\u00f8lge b\u00f8rsens egen <a href=\"https:\/\/learn.bybit.com\/en\/this-week-in-bybit\/bybit-security-incident-timeline\">h\u00e6ndelsesredeg\u00f8relse<\/a> bredt regnes for historiens st\u00f8rste kryptotyveri.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Anatomien i en god obduktion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Efter snart ti \u00e5r med h\u00e6ndelser er der opst\u00e5et en uskreven skabelon for, hvad en trov\u00e6rdig post-mortem skal indeholde. De hold, der f\u00f8lger den, genvinder tilliden hurtigere; de, der springer punkter over, bliver fl\u00e5et i kommentarsporet.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Tidslinje:<\/strong> pr\u00e6cise tidspunkter og bloknumre for hver fase af angrebet.<\/li>\n<li><strong>\u00c5rsag:<\/strong> den konkrete kodefejl, gerne med et uddrag af den s\u00e5rbare funktion.<\/li>\n<li><strong>Pengestr\u00f8m:<\/strong> en sporing af, hvor de stj\u00e5lne midler tog hen, ofte lavet af en blockchain-analysevirksomhed.<\/li>\n<li><strong>\u00d8jeblikkelig respons:<\/strong> hvordan og hvorn\u00e5r protokollen blev sat p\u00e5 pause.<\/li>\n<li><strong>Genopretning:<\/strong> en plan for at kompensere brugerne og lukke hullet.<\/li>\n<li><strong>L\u00e6ring:<\/strong> hvad der konkret \u00e6ndres, s\u00e5 samme fejl ikke kan gentage sig.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Tonen betyder ogs\u00e5 noget. De mest respekterede obduktioner undg\u00e5r at pege fingre og fokuserer p\u00e5 systemet frem for p\u00e5 den enkelte, der skrev den fejlbeh\u00e6ftede linje kode. Det er den samme blameless-tankegang, som resten af softwarebranchen bruger, og den virker, fordi den tilskynder folk til at v\u00e6re \u00e6rlige om, hvad der faktisk skete.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">De store sager i tal<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Tabellen nedenfor samler nogle af de h\u00e6ndelser, der har formet post-mortem-kulturen. Tabene er omregnet til danske kroner efter en kurs p\u00e5 omkring 6,56 kroner per dollar; de fleste tal er sk\u00f8n, fordi v\u00e6rdien af de stj\u00e5lne tokens svingede kraftigt undervejs. Et m\u00f8nster springer i \u00f8jnene: broerne mellem k\u00e6der st\u00e5r for de allerst\u00f8rste enkelttab, fordi de samler enorme m\u00e6ngder v\u00e6rdi \u00e9t sted og ofte hviler p\u00e5 ganske f\u00e5 n\u00f8gler.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>H\u00e6ndelse<\/th><th>\u00c5r<\/th><th>Tab (ca.)<\/th><th>\u00c5rsag<\/th><th>Udfald<\/th><\/tr><\/thead><tbody><tr><td>The DAO<\/td><td>2016<\/td><td>3,6 mio. ETH<\/td><td>Reentrancy<\/td><td>Hard fork, ETH\/ETC-splittelse<\/td><\/tr><tr><td>Parity multisig<\/td><td>2017<\/td><td>~500.000 ETH l\u00e5st<\/td><td>Self-destruct i delt kode<\/td><td>Midler frosset permanent<\/td><\/tr><tr><td>Poly Network<\/td><td>2021<\/td><td>~4,0 mia. kr.<\/td><td>Fejl i cross-chain-kontrakt<\/td><td>N\u00e6sten alt returneret<\/td><\/tr><tr><td>Ronin Bridge<\/td><td>2022<\/td><td>~4,1 mia. kr.<\/td><td>Kompromitterede validator-n\u00f8gler<\/td><td>Sky Mavis d\u00e6kkede tabet; OFAC-sanktion<\/td><\/tr><tr><td>Wormhole<\/td><td>2022<\/td><td>~2,1 mia. kr.<\/td><td>Fejl i signaturverificering<\/td><td>Jump Crypto genopfyldte kassen<\/td><\/tr><tr><td>Nomad Bridge<\/td><td>2022<\/td><td>~1,2 mia. kr.<\/td><td>Fejlagtig initialisering<\/td><td>Frit slag for alle; delvist returneret<\/td><\/tr><tr><td>Mango Markets<\/td><td>2022<\/td><td>~770 mio. kr.<\/td><td>Oracle-manipulation<\/td><td>Angriber retsforfulgt i USA<\/td><\/tr><tr><td>Euler Finance<\/td><td>2023<\/td><td>~1,3 mia. kr.<\/td><td>Fejl i likviditetslogik<\/td><td>N\u00e6sten alt returneret<\/td><\/tr><tr><td>Curve Finance<\/td><td>2023<\/td><td>~460 mio. kr.<\/td><td>Fejl i Vyper-compiler<\/td><td>Delvist reddet af white hats<\/td><\/tr><tr><td>Bybit<\/td><td>2025<\/td><td>~9,8 mia. kr.<\/td><td>Kompromitteret signeringsflow<\/td><td>St\u00f8rste tyveri nogensinde; Lazarus<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">N\u00e5r hackeren forhandler tilbage<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">En af de m\u00e6rkeligste sider ved post-mortem-kulturen er, at gerningsmanden nogle gange selv bliver en del af historien. I august 2021 t\u00f8mte en angriber Poly Network for aktiver til en v\u00e6rdi af omkring 4 milliarder kroner p\u00e5 tv\u00e6rs af flere k\u00e6der, kun for at sende n\u00e6sten det hele tilbage i l\u00f8bet af f\u00e5 dage. Personen, som holdet halvt i sp\u00f8g d\u00f8bte Mr. White Hat, indlejrede endda sp\u00f8rgsm\u00e5l og svar direkte i transaktionerne p\u00e5 k\u00e6den.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Det samme m\u00f8nster gentog sig med Euler Finance i marts 2023. Efter et angreb p\u00e5 cirka 1,3 milliarder kroner brugte holdet dagevis p\u00e5 at kommunikere med angriberen gennem beskeder skrevet ind i transaktioner, og til sidst returnerede vedkommende stort set alle midlerne. Fordi det meste var vekslet til ETH, som steg i mellemtiden, endte protokollen if\u00f8lge sin egen <a href=\"https:\/\/www.euler.finance\/blog\/war-peace-behind-the-scenes-of-eulers-240m-exploit-recovery\">post-mortem<\/a> med at f\u00e5 mere tilbage, end den mistede, og <a href=\"https:\/\/www.coindesk.com\/business\/2023\/04\/03\/euler-says-all-recoverable-funds-stolen-in-200m-hack-have-been-returned\">alle inddrivelige midler<\/a> var p\u00e5 plads inden for tre uger. Den slags on-chain-forhandling er blevet et fast element, blandt andet fordi mange protokoller tilbyder en dus\u00f8r p\u00e5 op til 10 procent til white hats. For en angriber kan en lovlig bel\u00f8nning nogle gange v\u00e6re mere attraktiv end en jagt fra myndighederne.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Lazarus og de statslige angribere<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ikke alle angribere er til at forhandle med. En voksende del af de allerst\u00f8rste tyverier tilskrives Lazarus Group, en hackerenhed knyttet til den nordkoreanske stat. Da Ronin Bridge blev dr\u00e6net for omkring 4,1 milliarder kroner i marts 2022, koblede <a href=\"https:\/\/www.coindesk.com\/policy\/2022\/04\/14\/us-officials-tie-north-korean-hacker-group-to-axies-ronin-exploit\">amerikanske myndigheder<\/a> hurtigt angrebet til gruppen og satte den relevante wallet-adresse p\u00e5 sanktionslisten. Det samme m\u00f8nster gik igen ved Bybit-tyveriet i 2025.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Blockchain-analysehuset <a href=\"https:\/\/www.chainalysis.com\/blog\/\">Chainalysis<\/a> ansl\u00e5r, at nordkoreansk-tilknyttede grupper har stj\u00e5let milliarder af dollars i krypto over de seneste \u00e5r, ofte for at finansiere statens v\u00e5benprogrammer. Det \u00e6ndrer karakteren af post-mortem&#8217;en fuldst\u00e6ndigt. N\u00e5r modparten er en sanktioneret statslig akt\u00f8r, er der ingen dus\u00f8r at forhandle om, og fokus flytter sig fra genopretning til efterforskning, sanktioner og fors\u00f8g p\u00e5 at spore midlerne, f\u00f8r de forsvinder gennem miksere og k\u00e6dehop. For hele branchen bet\u00f8d det, at obduktionerne begyndte at handle lige s\u00e5 meget om n\u00f8gleh\u00e5ndtering, indbrud p\u00e5 udviklermaskiner og social manipulation som om ren smart contract-kode.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Governance-forummet som skadestue<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">N\u00e5r en decentral protokol bliver ramt, er der sj\u00e6ldent en bestyrelse, der bare kan tr\u00e6de sammen. I stedet bliver governance-forummet til en improviseret skadestue. P\u00e5 fora som <a href=\"https:\/\/gov.curve.fi\/\">Curves governance-side<\/a> kan token-indehavere stille n\u00f8dforslag, stemme om at bruge protokollens reserver til at kompensere ofre og koordinere med white hats, alt sammen i fuld offentlighed. Modellen er ikke opfundet til lejligheden; den bygger p\u00e5 de samme afstemninger, som ellers bruges til at justere gebyrer og parametre, blot afviklet under h\u00e5rdt tidspres.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Curve-sagen fra juli 2023 viste b\u00e5de styrken og skr\u00f8beligheden i den model. En fejl i tre \u00e6ldre versioner af programmeringssproget Vyper, som ligger frit tilg\u00e6ngeligt p\u00e5 projektets <a href=\"https:\/\/github.com\/vyperlang\/vyper\">GitHub<\/a>, satte en reentrancy-l\u00e5s ud af kraft og ramte flere likviditetspuljer p\u00e5 \u00e9n gang. Det oprindelige tab p\u00e5 omkring 460 millioner kroner blev mindre, da white hats n\u00e5ede at redde en del af midlerne f\u00f8rst. Samtidig havde grundl\u00e6ggeren store l\u00e5n med CRV-token som sikkerhed, og et kraftigt kursfald kunne have udl\u00f8st en kaskade af tvangssalg. Krisen blev afv\u00e6rget gennem en r\u00e6kke aftaler indg\u00e5et i det \u00e5bne, men den mindede alle om, hvor t\u00e6t teknisk risiko og markedsrisiko h\u00e6nger sammen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hvad siger Finanstilsynet og MiCA?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For danske investorer er det store sp\u00f8rgsm\u00e5l, om nogen myndighed overhovedet holder \u00f8je. Med EU&#8217;s <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=CELEX%3A32023R1114\">MiCA-forordning<\/a> (forordning (EU) 2023\/1114) er udbydere af kryptoaktivtjenester nu forpligtet til at rapportere alvorlige h\u00e6ndelser og leve op til krav om driftsm\u00e6ssig robusthed. I Danmark er det <a href=\"https:\/\/www.finanstilsynet.dk\/\">Finanstilsynet<\/a>, der f\u00f8rer tilsyn med de selskaber, der har tilladelse efter reglerne.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Men der er en gr\u00e5zone. MiCA er skrevet til identificerbare udbydere, ikke til fuldt decentrale protokoller uden et selskab bag. Oven i MiCA kommer DORA, EU&#8217;s regler for digital driftsstabilitet, som kr\u00e6ver, at finansielle akt\u00f8rer indberetter alvorlige it-h\u00e6ndelser inden for korte frister. Alligevel er gr\u00e6nsen mellem, hvorn\u00e5r noget falder under de nye regler, og hvorn\u00e5r \u00e6ldre rammer som MiFID II er mere relevante, stadig til diskussion blandt jurister. Indtil den er trukket skarpere op, fungerer den offentlige post-mortem ofte som den eneste reelle oplysning, investorerne f\u00e5r. Et velskrevet obduktionsdokument er ikke det samme som en tilsynsrapport, men i praksis er det tit alt, man har at g\u00e5 efter.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hvad danske investorer kan l\u00e6re<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den vigtigste lektie er, at post-mortems er gratis undervisning. F\u00f8r du l\u00e6gger penge i en protokol, kan det betale sig at l\u00e6se, om den har v\u00e6ret ramt f\u00f8r, og hvordan holdet reagerede. Et projekt, der har skrevet en \u00e6rlig obduktion og kompenseret sine brugere, har vist noget om sin karakter; et projekt, der fors\u00f8gte at feje sagen ind under gulvt\u00e6ppet, har ogs\u00e5 vist noget.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Unders\u00f8g, om koden er blevet auditeret, og af hvem, men husk at et audit aldrig er en garanti.<\/li>\n<li>V\u00e6r ekstra varsom med broer mellem k\u00e6der; de har historisk v\u00e6ret de dyreste enkeltm\u00e5l.<\/li>\n<li>Regn ikke med, at stj\u00e5lne midler bliver returneret. Det sker, men langtfra altid.<\/li>\n<li>Overvej selv-forvaring frem for at lade st\u00f8rre bel\u00f8b ligge p\u00e5 en platform, du ikke selv kontrollerer.<\/li>\n<li>Spred risikoen, og invester kun det, du kan t\u00e5le at tabe, uanset hvor solid en protokol ser ud.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Post-mortem-kulturen er p\u00e5 mange m\u00e5der det bedste ved krypto: en branche, der tvinges til at l\u00e6re i fuld offentlighed, fordi beviserne ligger p\u00e5 k\u00e6den for alle at se. Prisen for den \u00e5benhed er, at hver eneste fejl bliver et permanent dokument. For investorer med adgang til <a href=\"https:\/\/www.coingecko.com\/\">CoinGecko<\/a> og en smule t\u00e5lmodighed er de dokumenter en af de mest undervurderede kilder til viden, der findes. De aktuelle priser st\u00e5r i kurstabellen; den egentlige risiko g\u00f8r sj\u00e6ldent. Jo flere obduktioner man har l\u00e6st, jo bedre bliver man til at genkende de r\u00f8de flag, l\u00e6nge f\u00f8r pengene forsvinder.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Af HOGE Wire-redaktionen. Denne artikel er journalistik og ikke investeringsr\u00e5dgivning.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Fra The DAO til Bybit har krypto gjort katastrofer til offentlige obduktioner. Vi ser p\u00e5 kulturen bag protokol-post-mortems, og hvad de betyder for danske investorer.<\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-130","post","type-post","status-publish","format-standard","hentry","category-culture"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/posts\/130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/comments?post=130"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/posts\/130\/revisions"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/media?parent=130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/categories?post=130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/dk\/wp-json\/wp\/v2\/tags?post=130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}