Halborn: sikkerhetsfirmaet som avdekket Rab13s i Dogecoin
Halborn er sikkerhetsfirmaet som fant en kritisk feil i Dogecoin og over 280 andre blokkjeder. Vi forklarer hvem de er, hva Rab13s var, og hva det betyr for norske kryptoinvestorer.
Når en kryptobørs tappes for hundrevis av millioner kroner, eller en smartkontrakt viser seg å ha en feil som lar hvem som helst tømme den, er det gjerne de samme sikkerhetsfirmaene som dukker opp i etterkant. Halborn er ett av dem. Selskapet fra Miami har vokst til å bli en av de mest kjente aktørene innen Web3-sikkerhet, og i 2023 sto det bak en av de mest oppsiktsvekkende sårbarhetsavsløringene i kryptohistorien: en feil som i teorien truet over 280 blokkjeder på en gang. Her er hvem Halborn er, hva de gjør, og hvorfor arbeidet deres angår norske lesere.
Hva er Halborn?
Halborn er et amerikansk cybersikkerhetsselskap som spesialiserer seg på blokkjede- og kryptoteknologi. I praksis betyr det at de leies inn for å finne feil før kriminelle gjør det. De gransker smartkontrakter, tester infrastruktur og vurderer hvordan kryptoprosjekter håndterer nøkler, noder og brukerdata. Selskapet ble grunnlagt i 2019 og hadde lenge hovedkontor i Miami, men beskriver seg i dag som en fullstendig fjernstyrt, global organisasjon (halborn.com).
Navnet dukker oftest opp i to sammenhenger. Den ene er revisjonsrapporter: mange seriøse DeFi-prosjekter publiserer en rapport fra Halborn eller et tilsvarende firma for å vise at koden er gjennomgått. Den andre er sårbarhetsforskning, der Halborns egne ingeniører finner og melder fra om feil i protokoller som forvalter verdier for milliarder av dollar. Det var sistnevnte som ga selskapet overskrifter verden over i mars 2023.
Fra to etiske hackere til en tungvekter i bransjen
Halborn ble startet av Steven Walbroehl og Rob Behnke. Walbroehl er en erfaren etisk hacker og fungerer i dag som teknologidirektør (CTO), mens Behnke, som lenge var administrerende direktør, nå er styreleder og president. I starten var selskapet bootstrappet, altså finansiert av egne inntekter uten ekstern kapital.
Det endret seg sommeren 2022. Da hentet Halborn 90 millioner dollar, rundt 960 millioner kroner til dagens kurs, i en Series A-runde ledet av Summit Partners, med Castle Island, Digital Currency Group og Brevan Howard blant medinvestorene (Summit Partners). Det var den første eksterne finansieringen i selskapets historie, og på det tidspunktet hadde Halborn allerede over 250 kunder. Tidligere samme år kjøpte selskapet konsulentfirmaet Abyss og opprettet forskningsavdelingen Halborn Labs.
I september 2024 hentet selskapet inn Jacques Boschung, tidligere sjef i Kudelski Security, som ny administrerende direktør (halborn.com). Til forskjell fra mange kryptoselskaper kom Halborn seg gjennom bjørnemarkedet i 2022 og 2023 uten kjente nedbemanninger; selskapet utvidet i stedet ingeniørstaben.
| Tidspunkt | Hendelse |
|---|---|
| 2019 | Halborn grunnlegges i Miami av Steven Walbroehl og Rob Behnke |
| Januar 2022 | Kjøper Abyss og lanserer forskningsavdelingen Halborn Labs |
| Juli 2022 | Henter 90 millioner dollar i Series A, ledet av Summit Partners |
| Mars 2023 | Offentliggjør Rab13s-sårbarheten i Dogecoin og over 280 nettverk |
| September 2024 | Jacques Boschung blir ny administrerende direktør |
Hva Halborn faktisk gjør
Tjenestene til Halborn deles grovt i to. På den ene siden står det selskapet kaller assurance, altså teknisk verifisering. Det omfatter blant annet:
- Revisjon av smartkontrakter, der koden gjennomgås linje for linje på jakt etter feil
- Revisjon av selve protokollen, altså laget under (Layer 1)
- Penetrasjonstesting av web- og skyinfrastruktur
- Red team-øvelser, der eksperter simulerer et reelt angrep mot et selskap
- Nyere tjenester innen sikkerhet for kunstig intelligens
På den andre siden står rådgivning: vurdering av arkitektur og risiko, gjennomgang av hvordan et prosjekt oppbevarer og forvalter private nøkler, teknisk due diligence for investorer, og hjelp til å bli klar for regulatoriske krav. Kombinasjonen gjør at et prosjekt i prinsippet kan bruke Halborn fra første kodelinje til børslansering, selv om de fleste kunder kjøper enkelttjenester.
Rab13s: feilen som truet Dogecoin og 280 nettverk
I mars 2023 offentliggjorde Halborn en oppdagelse som fikk hele bransjen til å sperre opp øynene. En av selskapets ingeniører, Hossam Mohamed, hadde funnet en serie kritiske sårbarheter i kodebasen til Dogecoin. Den alvorligste fikk kodenavnet Rab13s (Halborn).
Problemet stoppet ikke ved Dogecoin. Fordi svært mange blokkjeder er bygget på kopier av den samme koden, anslo Halborn at over 280 nettverk var berørt, deriblant Litecoin og Zcash, og at digitale verdier for mer enn 25 milliarder dollar (godt over 250 milliarder kroner) i teorien sto på spill. CoinDesk og en rekke andre medier omtalte saken bredt (CoinDesk).
Tidslinjen er verdt å merke seg. Halborn ble engasjert for å granske Dogecoin-koden allerede i mars 2022, og selve feilen ble rettet i Dogecoin Core versjon 1.14.6, som kom i juli 2022 (GitHub). Detaljene ble først gjort offentlig nesten åtte måneder senere, slik at berørte prosjekter rakk å oppdatere først. Den mest kritiske svakheten er registrert som CVE-2023-30769, med høyeste alvorlighetsgrad (CVSS-score 9,1 av 10) (NVD).
| Sårbarhet | Type | Hva en angriper kunne gjøre | Forutsetning |
|---|---|---|---|
| Rab13s (p2p) | Tjenestenekt (DoS) | Sende spesiallagde konsensusmeldinger som tar noder offline; over tid kunne det bane vei for et 51 %-angrep | Ingen innlogging nødvendig |
| RPC-krasj | Tjenestenekt (DoS) | Krasje noden via RPC-forespørsler | Krever gyldige innloggingsdetaljer |
| RPC-RCE | Ekstern kjøring av kode | Kjøre vilkårlig kode på maskinen som driver noden | Krever gyldige innloggingsdetaljer |
Hvorfor en feil kan ramme hundrevis av kjeder samtidig
Det som gjør Rab13s så lærerikt, er ikke selve feilen, men hvor mange den traff. Dogecoin ble i sin tid laget ved å kopiere og endre koden fra Litecoin, som igjen stammer fra Bitcoin. Hundrevis av andre prosjekter har gjort det samme: De har tatt en velprøvd kodebase og justert noen parametere i stedet for å skrive alt fra bunnen. Det sparer tid, men det betyr også at en svakhet i den opprinnelige koden kan arves av alle som bygger videre på den.
Resultatet er en slags monokultur, der mange uavhengige nettverk deler det samme underliggende DNA-et. Når en forsker finner en alvorlig feil i ett av dem, må man straks spørre hvor mange andre som har den samme svakheten. I verste fall kunne en angriper i Rab13s-tilfellet tatt nok noder offline til å forstyrre nettverket, eller skaffe seg en posisjon som åpnet for et 51 %-angrep, der én aktør kontrollerer flertallet av regnekraften og kan skrive om deler av transaksjonshistorikken.
Mer enn Dogecoin: bredere sårbarhetsforskning
Dogecoin-saken er den mest kjente, men ikke den eneste. Halborn-forskere har også avdekket en nulldagssårbarhet i CosmWasm, programvaren som lar utviklere skrive smartkontrakter i Cosmos-økosystemet. Feilen lå i måten adresser ble normalisert på, og kunne i praksis brukes til å omgå sperrelister, lage duplikate likviditetsbasseng eller låse tokens permanent. Den berørte mer enn 20 Cosmos-baserte blokkjeder før den ble rettet (Halborn).
Her er det verdt å presisere noe. Halborn publiserer også mange analyser av hack som har rammet andre, for eksempel obduksjoner av kjente angrep mot DeFi-prosjekter. Disse er etterforskning og forklaring, ikke feil Halborn selv har oppdaget. Skillet er viktig når man vurderer hva et sikkerhetsfirma faktisk har bidratt med.
Hva en revisjon er, og hva den ikke er
En vanlig misforståelse er at en sikkerhetsrevisjon er en garanti. Det er den ikke. En revisjon er en gjennomgang på et bestemt tidspunkt, av en bestemt mengde kode, innenfor en avtalt ramme. Endrer prosjektet koden etterpå, noe de aller fleste gjør, faller de nye linjene utenfor det som ble gransket. Mange prosjekter som senere er blitt hacket, hadde en revisjonsrapport å vise til.
I tillegg dekker en revisjon sjelden hele angrepsflaten. Tapte private nøkler, svindel fra innsidere, manipulerte prisorakler og rene phishing-angrep mot brukere ligger ofte utenfor det en kodegjennomgang fanger opp. For en leser betyr det at logoen til Halborn, eller et hvilket som helst annet firma, i en rapport bør leses som ett av flere kvalitetstegn, ikke som et stempel på at noe er trygt. Et seriøst prosjekt bruker revisjoner som en del av et bredere sikkerhetsarbeid, ikke som et markedsføringstriks.
Det norske perspektivet: Finanstilsynet, MiCA og DORA
For norske lesere er sikkerhetsarbeid som dette i ferd med å gå fra å være et rent bransjeanliggende til å bli et regulatorisk krav. Tilbydere av kryptotjenester i Norge er underlagt Finanstilsynet (finanstilsynet.no), og gjennom EØS-avtalen tar Norge inn EUs nye regelverk for kryptomarkedene, MiCA (EUR-Lex). MiCA stiller blant annet krav til hvordan utstedere og børser håndterer risiko og beskytter kundene sine.
Minst like viktig for sikkerhet er DORA, EUs forordning om digital operasjonell motstandsdyktighet (EUR-Lex). DORA pålegger finansforetak, inkludert mange kryptoaktører, å teste IKT-systemene sine jevnlig, blant annet gjennom trusselbasert penetrasjonstesting. Det er nettopp den typen arbeid Halborn og lignende firmaer selger. For norske selskaper betyr regelverket at sikkerhetstesting ikke lenger bare er god skikk, men noe tilsynet kan forvente å se dokumentert. For vanlige investorer er poenget enklere: et prosjekt som tar sikkerhet på alvor, har som regel papirene i orden.
Hva betyr dette for norske lesere?
Halborn er ikke et navn de fleste nordmenn kjenner, men firmaet illustrerer en side av kryptobransjen som er lett å overse: det stille arbeidet med å finne feil før noen utnytter dem. Tre ting er verdt å ta med seg.
For det første er ingen kjede for stor eller for etablert til å ha feil; Rab13s viste at selv kode som har kjørt i årevis kan skjule kritiske svakheter. For det andre er en revisjon et øyeblikksbilde, ikke en forsikring, og bør vurderes deretter. For det tredje er sikkerhet i ferd med å bli et lovkrav, ikke bare et konkurransefortrinn, etter hvert som MiCA og DORA fases inn i norsk rett. Den som forstår dette, leser både nyheter om hack og lovnader om revisjoner med et skarpere blikk.
Av redaksjonen i HOGE Wire. Denne artikkelen er ment som generell informasjon og utgjør ikke investeringsråd.