h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Security & Exploits

CertiK forklart: revisoren som vokter kryptobransjen

CertiK reviderer smartkontrakter, rangerer prosjekter i Skynet og tallfester kryptotap i Hack3d-rapportene. Men hva garanterer en revisjon egentlig, og hva betyr den for norske investorer?

CertiK er et av de mest omtalte navnene innen kryptosikkerhet. Selskapet reviderer smartkontrakter, gir prosjekter en sikkerhetsscore i sanntid og utgir noen av bransjens mest siterte tapsstatistikker. Samtidig har CertiK selv stått midt i strid om hva en sikkerhetsrevisjon faktisk garanterer. Denne gjennomgangen ser på hva selskapet gjør, hva tallene viser, og hva en CertiK-stempling betyr, og ikke betyr, for norske kryptoinvestorer.

Hva er CertiK, og hvor kommer selskapet fra?

CertiK ble grunnlagt i 2018 av Ronghui Gu og Zhong Shao, to akademikere med tung bakgrunn i datasikkerhet. Gu er professor i informatikk ved Columbia University, mens Shao er professor og har ledet informatikkavdelingen ved Yale University. Navnet spiller på «Certified Kernel», og selskapets opphav ligger i formell verifikasjon, en matematisk metode for å bevise at programkode oppfører seg slik den skal. Hovedkontoret ligger i New York.

Fra et akademisk utgangspunkt har CertiK vokst til å bli en av de største kommersielle aktørene innen Web3-sikkerhet, og selskapet omtaler seg selv som bransjens største revisor. CertiK har hentet rundt 296 millioner dollar i kapital, og en finansieringsrunde i 2022, ledet av Insight Partners, Tiger Global og Advent International med Goldman Sachs og Sequoia på eiersiden, doblet verdsettelsen til to milliarder dollar. Selskapet oppgir å ha gjennomført flere tusen revisjoner, og kundelisten omfatter flere av de store kryptobørsene.

Fra formell verifikasjon til en komplett sikkerhetssuite

I dag tilbyr CertiK langt mer enn ren kodegjennomgang. Kjernetjenesten er fortsatt revisjon av smartkontrakter, der erfarne sikkerhetseksperter går gjennom koden manuelt, supplert med automatiserte og AI-baserte verktøy. På toppen ligger formell verifikasjon, som CertiK markedsfører som et matematisk bevis for at en kontrakt oppfyller en gitt spesifikasjon. Det er denne metoden selskapet har sine akademiske røtter i.

Rundt revisjonen har CertiK bygget en bredere portefølje. Den omfatter løpende overvåking av kontrakter på kjeden (on-chain monitoring), tiltak mot hvitvasking (AML), penetrasjonstesting og bistand når noe først går galt. Alt samles i sanntidsplattformen Skynet, som er det de fleste vanlige brukere møter når de slår opp et prosjekt før de investerer.

Slik leser du en Skynet-score

Skynet gir hvert prosjekt en sikkerhetsscore basert på seks kategorier: kodesikkerhet, fundamental helse, operasjonell robusthet, styringsstyrke, markedsstabilitet og tillit i fellesskapet. Tanken er å gi et oppdatert øyeblikksbilde som går utover en enkeltstående revisjonsrapport, og som også fanger opp signaler etter at koden er satt i drift.

En høy Skynet-score er likevel ingen garanti. Scoren måler observerbare indikatorer på et bestemt tidspunkt. Den kan ikke forutsi at et team senere tømmer prosjektkassen, eller at en oppdatering introduserer et nytt hull dagen etter at scoren ble beregnet. Den bør leses som ett av flere signaler, ikke som en fasit, og aldri som en anbefaling om å kjøpe.

Skynet ligger bak de grønne sikkerhetsmerkene mange børser og prosjekter viser frem i markedsføringen, og CertiK rangerer selskaper i offentlige oversikter. Det gir innsyn, men skaper også et insentivproblem: prosjektene betaler selv for revisjonen, og et høyt synlig merke kan brukes som salgsargument. Som leser bør du derfor behandle merket som markedsføring inntil du har lest selve rapporten.

Hack3d-rapportene: tallene bak kryptokriminaliteten

Blant journalister er CertiK kanskje best kjent for Hack3d, kvartals- og årsrapportene som tallfester tap til hacking, svindel og utnyttelser. Tallene siteres bredt i internasjonale medier og gir et grovt, men nyttig, bilde av trusselbildet i kryptomarkedet.

For hele 2025 rapporterte CertiK tap på rundt 3,35 milliarder dollar, omtrent 33 milliarder kroner, fordelt på 630 hendelser. Det er en oppgang på 37 prosent fra 2024, da tapene lå på rundt 2,45 milliarder dollar, cirka 24 milliarder kroner. Gjennomsnittstapet per hendelse steg til 5,32 millioner dollar, rundt 53 millioner kroner, en økning på over 66 prosent. Med andre ord ble det færre, men langt dyrere, angrep.

Allerede første halvår 2025 oversteg hele 2024. Med en dollarkurs på rundt 9,90 kroner (Norges Bank, slutten av juni 2026) fordelte tapene seg slik etter angrepsvektor:

AngrepsvektorTap i dollarTap i kroner (ca.)Hendelser
Kompromittert lommebok og private nøkler1,71 mrd16,9 mrd34
Phishing411 mill4,1 mrd132
Kodesårbarheter283 mill2,8 mrd114
Totalt H1 20252,47 mrd24,5 mrd344

Mønsteret er tydelig. De største tapene skyldes ikke nødvendigvis avanserte feil i koden, men kompromitterte private nøkler og phishing, altså menneskelige og operasjonelle svakheter. Samtidig registrerte CertiK rundt 184 millioner dollar, cirka 1,8 milliarder kroner, i tilbakeførte midler i samme periode, noe som viser at ikke alt som stjæles, forblir tapt.

Tallene bør leses med en viss varsomhet. Ulike sikkerhetsselskaper bruker forskjellige metoder, og beløp oppgis gjerne i dollarverdi på tidspunktet for tyveriet, noe som svinger med markedet. Likevel peker Hack3d-seriene i samme retning som andre målinger: de samlede tapene i kryptomarkedet ligger på titalls milliarder kroner i året, og kurven har pekt oppover de siste årene.

Bybit-ranet og hvorfor 2025 ble et rekordår

Mye av rekorden i 2025 kan spores til én enkelt hendelse. I februar 2025 ble kryptobørsen Bybit tappet for rundt 1,4 milliarder dollar, nær 14 milliarder kroner, i det som regnes som tidenes største kryptotyveri. Angriperne utnyttet ikke Bybits egne smartkontrakter, men et brukergrensesnitt i Safe{Wallet}, en gratis multisignatur-løsning børsen brukte til å flytte Ethereum mellom lommebøker.

Det amerikanske forbundspolitiet FBI slo fast at Nord-Koreas Lazarus-gruppe sto bak, og anslo tapet til rundt 1,5 milliarder dollar. En stor del av midlene ble hvitvasket allerede i løpet av de første timene, og Bybit måtte hente kortsiktige lån for å dekke kundeuttak. Saken understreker et poeng CertiK gjentar i rapportene: selv en børs med revidert kode kan falle for angrep rettet mot infrastrukturen, de ansatte og verktøyene rundt selve kontraktene.

Kraken-konflikten: white-hat eller utpressing?

CertiK har ikke bare dokumentert andres tap. Selskapet har også vært i sentrum av en av bransjens mest betente konflikter. I juni 2024 fant CertiK-forskere en feil hos kryptobørsen Kraken som lot dem blåse opp kontosaldoer kunstig. I stedet for å nøye seg med noen få bevis-på-konsept-transaksjoner, slik bransjepraksis tilsier, gjennomførte de en rekke uttak på til sammen rundt 3 millioner dollar, cirka 30 millioner kroner.

Krakens sikkerhetssjef Nick Percoco beskrev det som utpressing, fordi midlene ikke ble returnert før børsen gikk med på en forhandling om beløp. CertiK svarte at Kraken truet enkeltansatte og krevde tilbakebetaling uten å oppgi mottaksadresse. At deler av midlene ble sendt gjennom den sanksjonerte mikseren Tornado Cash, gjorde ikke saken bedre. Pengene ble til slutt tilbakeført, men episoden utløste en bred debatt om hvor grensen går mellom white-hat-forskning og ren kriminalitet.

Saken fikk få rettslige følger, men den ble en lærepenge for bransjen. Den viste hvor uklare reglene for ansvarlig feilrapportering fortsatt er, og hvor raskt en sikkerhetstest kan gli over i noe som ligner et tyveri. For en aktør som lever av tillit, var omdømmekostnaden trolig større enn de tre millionene som ble flyttet frem og tilbake.

Når revisjon ikke er nok: kritikken mot CertiK

CertiK har også fått kritikk for selve kjernevirksomheten. Flere prosjekter er blitt hacket eller har gjennomført en exit-svindel kort tid etter å ha fått en CertiK-revisjon. Et mye omtalt eksempel er Merlin, et DeFi-prosjekt på BNB Chain som forsvant med rundt 1,8 millioner dollar, cirka 18 millioner kroner, bare dager etter revisjonen. Sikkerhetsselskapet BlockSec mente det lå åpenbar ondsinnet logikk i koden som burde vært fanget opp. Også prosjekter som Spartan Protocol er blitt utnyttet etter å ha vært innom revisoren.

Kritikken handler dels om volum. Et høyt antall revisjoner kan gå ut over kvaliteten på hver enkelt. CertiK svarer at en revisjon ikke er et godkjentstempel, men en objektiv gjennomgang av et prosjekts kode på et gitt tidspunkt. Det er en viktig nyanse. En revisjon dekker den koden som faktisk ble levert til gjennomgang, ikke senere endringer, ikke teamets egentlige hensikter, og ikke hvordan private nøkler oppbevares i praksis. Nettopp derfor er det farlig å lese et revisjonsmerke som en trygghetsgaranti.

Hva en CertiK-revisjon betyr for norske lesere

For norske investorer er det avgjørende å skille mellom sikkerhetsrevisjon og finansregulering. En CertiK-rapport eller en høy Skynet-score er ikke en tillatelse fra Finanstilsynet, og den gir ingen av de rettighetene et regulert tilbud gjør. En privat aktør som CertiK vurderer kode og prosesser; den fører ikke tilsyn med selskapet på vegne av myndighetene.

Siden 1. juli 2025 gjelder lov om kryptoeiendeler i Norge, som gjennomfører EUs MiCA-forordning gjennom EØS-avtalen. Loven stiller krav til kryptoeiendelstjenesteytere, omtalt som CASP-er, om blant annet investorbeskyttelse, informasjon og markedsintegritet, og Finanstilsynet fører tilsyn. En kodegjennomgang fra CertiK erstatter ikke dette regelverket, og den sier heller ingenting om skatt. Skatteetaten behandler gevinst fra kryptohandel som skattepliktig inntekt uansett hvor grundig revidert et prosjekt måtte være.

Slik bruker du CertiK i egen aktsomhet

En CertiK-stempling er et nyttig signal, men bare ett av mange. Bruk den som et utgangspunkt for egne undersøkelser, ikke som en konklusjon:

  • Sjekk om revisjonen faktisk gjelder den versjonen av koden som kjører nå, ikke en eldre utgave.
  • Les selve funnene, ikke bare totalscoren. En rapport kan liste alvorlige funn som er merket som «acknowledged» i stedet for «resolved».
  • Se etter flere uavhengige revisjoner. Én revisor fanger sjelden alt.
  • Vurder hvem som kontrollerer private nøkler og administratorrettigheter, siden de største tapene i 2025 kom fra nettopp kompromitterte nøkler.
  • Husk at verken en revisjon eller en høy score er en tillatelse fra Finanstilsynet eller en forsikring mot tap.

CertiK fyller en reell funksjon i et marked der kode forvalter enorme verdier, og rapportene selskapet utgir er blant de beste åpne kildene vi har til omfanget av kryptokriminalitet. Men historien om selskapet er samtidig en påminnelse om at sikkerhet ikke kan settes bort til ett enkelt stempel. For norske lesere er den tryggeste tilnærmingen å kombinere tredjepartsrevisjoner med sunn skepsis, spredning av risiko og kunnskap om hvilke rettigheter MiCA-regelverket faktisk gir.

Av HOGE Wire-redaksjonen, sikkerhet og marked.

Share 𝕏 Post Telegram