Multisig-sikkerhet: beste praksis mot blindsignering
Milliardtyveriene fra Bybit, WazirX og Radiant viste at en multisig ikke er trygg av seg selv. Her er den oppdaterte sjekklisten for terskler, maskinvarelommebøker og uavhengig kontroll.
En multisig-lommebok skal gjøre det umulig for én enkelt person, eller én enkelt angriper, å tømme kassa alene. Likevel gikk tre av de dyreste tyveriene i kryptohistorien gjennom nettopp slike lommebøker. Bybit mistet rundt 1,5 milliarder dollar (nær 14,7 milliarder kroner) i februar 2025, WazirX rundt 230 millioner dollar (cirka 2,3 milliarder kroner) sommeren 2024, og Radiant Capital rundt 50 millioner dollar (omtrent 490 millioner kroner) høsten samme år. Ingen av angrepene knakk kryptografien. De lurte menneskene som holdt nøklene. Det er den ubehagelige lærdommen bak stadig flere store kryptotyverier: angriperne slutter å bryte seg inn i selve lommeboken og styrer i stedet hånden til dem som allerede har nøkkelen.
Hvorfor en multisig ikke er trygg av seg selv
En multisig fjerner ikke tillit; den flytter den, fra én person til en gruppe og til rutinene rundt signeringen. Det er en reell forbedring, men bare hvis rutinene faktisk holder. En 2-av-3 som forvalter titalls millioner kroner, men der alle tre nøklene ligger på samme skrivebord, gir mest av alt en falsk trygghet. Tallene fra 2026 viser hvor tyngdepunktet har flyttet seg. I første halvår registrerte TRM Labs 207 hendelser til rundt 972 millioner dollar. Rene smartkontrakt-feil sto for flertallet av angrepene, men det store flertallet av verdien forsvant gjennom kompromitterte nøkler, infrastruktur og driftsrutiner. Med andre ord: koden holder stadig oftere. Det er menneskene og prosessene rundt lommeboken som ryker. For en angriper er det ofte enklere å lure en sliten operatør til å godkjenne feil transaksjon enn å finne et hull i en grundig revidert smartkontrakt.
Slik fungerer en multisig
En multisig, kort for multisignatur, er en lommebok som krever flere godkjenninger før en transaksjon kan gjennomføres. Oppsettet beskrives som m-av-n: n personer holder hver sin nøkkel, og m av dem må signere. En 3-av-5-lommebok trenger tre av fem signaturer for å sende midler. På Ethereum og de fleste EVM-kjeder er standarden Safe{Wallet} (tidligere Gnosis Safe), en smartkontraktskonto som forvalter en stor andel av verdiene i institusjonelle kryptolommebøker. Fordi Safe er en smartkontrakt og ikke bare én privat nøkkel, kan signerere og terskel endres underveis uten at midlene flyttes, noe som er praktisk, men også en angrepsflate i seg selv. Hensikten er å fjerne det enkelte feilpunktet: mister eller lekker én person nøkkelen sin, er pengene fortsatt trygge. Svakheten er at flere signaturer ikke er verdt noe hvis alle signerer det samme, feilaktige innholdet.
Tre milliardtyverier, én felles svakhet
De tre sakene i tabellen under hadde ulike oppsett, men samme grunnleggende svakhet: signererne godkjente noe annet enn det de trodde de godkjente. Beløpene er omregnet til en dollarkurs på rundt 9,80 kroner.
| Hendelse | Dato | Tap | Oppsett | Angrepsvektor |
|---|---|---|---|---|
| Bybit | 21. feb. 2025 | ca. 1,5 mrd. USD (ca. 14,7 mrd. kr) | Safe, kald lommebok | Manipulert Safe-grensesnitt |
| WazirX | 18. juli 2024 | ca. 230 mill. USD (ca. 2,3 mrd. kr) | Gnosis Safe 4-av-6, ekstern forvaring | Avvik mellom grensesnitt og data |
| Radiant Capital | 16. okt. 2024 | ca. 50 mill. USD (ca. 490 mill. kr) | Safe 3-av-11 | Skadevare og blindsignering |
I Bybit-saken 21. februar 2025 injiserte angriperne skadelig JavaScript i grensesnittet til Safe{Wallet} etter å ha kompromittert en utviklermaskin hos selskapet. Grensesnittet så helt normalt ut helt til Bybit skulle flytte midler fra en kald lommebok; da ble innholdet byttet ut i det stille. FBI knyttet tyveriet til den nordkoreanske Lazarus-gruppen, og rundt 401 000 ETH forsvant. Det er det største kryptotyveriet noensinne.
Hos WazirX 18. juli 2024 lå nøklene i en 4-av-6 Gnosis Safe under en forvaringsavtale med tjenesteleverandøren Liminal. Angriperne utnyttet et avvik mellom det Liminals grensesnitt viste og de faktiske transaksjonsdataene, slik at fire signerere godkjente en tilsynelatende ufarlig overføring med skjult, skadelig innhold. Tapet tilsvarte nær halvparten av børsens reserver.
Radiant Capital brukte en 3-av-11-multisig. I oktober 2024 plantet nordkoreanske aktører skadevare på maskinene til flere utviklere via en falsk PDF sendt på Telegram. Maskinvarelommebøkene viste riktig data i Safe-grensesnittet mens en helt annen transaksjon ble signert i bakgrunnen, og verken Safe eller Tenderly-simulering slo ut. Til slutt overførte angriperne eierskapet til protokollens kjernekontrakt til seg selv. Ingen av de tre teamene manglet maskinvarelommebøker eller flere signerere; de manglet en pålitelig måte å se hva de faktisk godkjente.
Velg terskel med omhu
Terskelen er den første beslutningen, og den enkleste å bomme på. SEAL-rammeverket anbefaler minst tre signerere og en terskel på 50 prosent, og minst sju signerere for lommebøker som holder verdier over én million dollar. For mindre lag fungerer 2-av-3, mens 3-av-5 eller 4-av-7 passer bedre for prosjekter med store verdier, ifølge en gjennomgang fra Polygon. Terskelen bør stå i forhold til verdiene: jo mer som ligger i lommeboken, desto flere uavhengige godkjenninger bør kreves. Unngå n-av-n, der alle må signere, for da er alt tapt for godt om bare én person mister nøkkelen. En 1-av-n er på sin side ingen ekte multisig, bare én nøkkel med noen ekstra steg. Vurder også hvor mange signerere som realistisk er tilgjengelige på kort varsel, slik at en nødvendig sikring ikke blir umulig å gjennomføre når det haster.
Spre nøklene, ikke bare tell dem
En 4-av-7 hjelper lite hvis alle sju nøklene ligger på samme kontor, på samme maskinvaremodell, styrt av folk med samme tilgang. Reell spredning betyr flere ting samtidig:
- Ulike maskinvarelommebøker fra forskjellige produsenter, så én sårbarhet ikke rammer alle nøklene.
- Geografisk avstand mellom enhetene som holder nøklene.
- Nøkler fordelt på flere uavhengige, godt kontrollerte personer, gjerne med minst én signerer utenfor egen organisasjon.
- Ulik klientprogramvare mot lommeboken, så ett kompromittert grensesnitt ikke lurer alle.
- Signering på en dedikert, helst air-gapped, enhet, ikke på arbeids-PC-en som samtidig leser e-post og surfer.
Poenget er å bryte antakelsen om at signererne deler skjebne. Radiant hadde elleve nøkler, men angriperne trengte bare å nå tre maskiner med samme svakhet.
Blindsignering er hovedfienden
Fellesnevneren i alle tre sakene er blindsignering: brukeren godkjenner en transaksjon som maskinvarelommeboken bare viser som en kryptografisk hash, ikke som lesbar tekst. Bybit-signererne holdt ekte maskinvarelommebøker og gjorde alt etter boka, men de kunne ikke se hva de faktisk skrev under på. Problemet er strukturelt, ikke et resultat av slurv: en liten skjerm kan ikke gjengi et komplekst kontraktskall på en måte et menneske rekker å kontrollere. Nettopp derfor har angripere flyttet innsatsen fra nøklene til det signererne ser på skjermen. Løsningen som har fått fart etter 2025, heter clear signing, standardisert i ERC-7730. Den oversetter rå kalldata til lesbare felter, som beløp og mottakeradresse, og viser dem før signering. Ledgers clear signing viser intensjonen på enhetens sikre skjerm før du bekrefter. Regelen er enkel: signer aldri noe maskinvarelommeboken ikke kan vise deg i klartekst.
Verifiser transaksjonen uavhengig
Clear signing hjelper, men den sikreste kontrollen skjer utenfor det grensesnittet du allerede har grunn til å mistenke. Før du signerer, kan du regne ut Safe-transaksjonens hash på en ren, isolert maskin og sammenligne den med det maskinvarelommeboken viser. Åpne verktøy som clearsig gjør nettopp dette offline. Beslektede forslag definerer et kort kalldata-fingeravtrykk som to enheter kan regne ut hver for seg; stemmer de overens, er bytene riktige. Legg til bekreftelse i en egen kanal, for eksempel en videosamtale kombinert med en signert melding, slik SEAL-rammeverket anbefaler for kritiske handlinger. Og stol aldri på ett enkelt grensesnitt: nettopp avviket mellom skjerm og virkelighet felte både Bybit og WazirX. Simulering i Safe eller Tenderly er nyttig, men husk at Radiant-simuleringene ikke slo ut, fordi selve maskinen var kompromittert.
Timelocks, overvåking og farlige eierfunksjoner
Noen grep gir deg tid og innsyn selv når en signering går galt. En timelock legger en obligatorisk forsinkelse mellom godkjenning og gjennomføring, et vindu der teamet eller lokalsamfunnet kan oppdage og stanse en ondsinnet transaksjon. Aktiv overvåking, med varsler om all multisig-aktivitet, gjør at et angrep ikke får ligge ubemerket. Kombinasjonen av forsinkelse og overvåking er ofte forskjellen mellom et tyveri som stanses i tide, og ett som først oppdages når midlene er ute av rekkevidde. Vær dessuten ekstra streng med privilegerte funksjoner: Radiant mistet kontrollen fordi angriperne kunne kalle transferOwnership på en kjernekontrakt i én enkelt transaksjon. Slike funksjoner bør ligge bak sin egen timelock, og eierskap bør ikke kunne flyttes uten forsinkelse og varsling. Øv dessuten på responsen før den trengs: hvem som kan fryse hva, og hvor raskt, avgjør ofte hvor mye som lar seg redde.
Regelverk og ansvar i Norge
For norske aktører er dette ikke bare et teknisk spørsmål. Kryptoeiendelsloven, som gjennomfører EUs MiCA-forordning, har gjeldt i Norge siden 1. juli 2025 via EØS-avtalen. Børser, forvarere og andre som tilbyr kryptotjenester må ha tillatelse som tilbyder av kryptoeiendelstjenester (CASP) under tilsyn av Finanstilsynet, og kravene til IKT- og driftssikkerhet forsterkes av DORA-regelverket. En CASP som forvarer kundemidler i en multisig, har dermed et regulatorisk ansvar for at signeringsrutinene holder mål; svikter de, finnes det en tilsynsmyndighet å gå til. Ansvaret gjelder også når forvaringen settes ut: WazirX brukte en ekstern leverandør, men det var fortsatt børsens kunder som satt igjen med tapet. Bruker du derimot en fullt desentralisert DeFi-protokoll, faller den utenfor MiCA, og da finnes verken CASP eller Finanstilsynet å klage til når midlene er borte. Da er dine egne rutiner hele forsvaret.
Sjekkliste før du signerer
- Er terskelen fornuftig (minst tre signerere, ingen n-av-n), og er nøklene reelt spredt?
- Bruker alle signerere maskinvarelommebøker på dedikerte enheter?
- Kan du lese transaksjonens intensjon i klartekst med clear signing, ikke bare en hash?
- Har du regnet ut og sammenlignet transaksjonens hash på en uavhengig maskin?
- Er kritiske handlinger bekreftet i en egen kanal, med timelock og overvåking på plass?
Av HOGE Wire-redaksjonen, som dekker sikkerhet og exploits.