Revidert, testet, likevel hacket: hva audits faktisk fanger
Hack etter hack rammer DeFi-prosjekter som har bestått flere audits. Vi forklarer hva en sikkerhetsrevisjon fanger, hva den overser, og hvorfor den aldri er en garanti.
Nesten alle seriøse DeFi-prosjekter viser i dag fram en eller flere revisjonsrapporter før de slipper smartkontraktene sine løs på blokkjeden. En rapport fra et anerkjent revisjonsselskap har blitt et tillitssignal, omtrent som et stempel på at koden er gransket av eksperter. Likevel ble 2025 det verste året som er registrert for kryptotyverier, med over 3,4 milliarder dollar, godt over 33 milliarder kroner, stjålet ifølge Chainalysis.
Hvordan kan begge deler stemme på samme tid? Svaret ligger i hva en sikkerhetsrevisjon faktisk er, og like viktig, hva den ikke er. Denne gjennomgangen forklarer hvordan revisjoner foregår, hvem de store aktørene er, hva de koster i kroner, og hvorfor en protokoll kan bestå mer enn ti revisjoner og likevel bli tømt på under en halvtime.
Hva en sikkerhetsrevisjon faktisk er
En sikkerhetsrevisjon, ofte bare kalt en audit, er en strukturert gjennomgang av kildekoden til en eller flere smartkontrakter på et bestemt tidspunkt. Eksterne sikkerhetsforskere leser koden, kjører verktøy mot den og prøver å tenke som en angriper for å finne svakheter før kontraktene tas i bruk.
Tre ord er verdt å feste seg ved: avgrenset, tidsbestemt og øyeblikksbilde. En revisjon dekker et definert omfang, som regel navngitte kontrakter på en bestemt commit i kodebasen, innenfor et avtalt antall uker. Den sier noe om koden slik den så ut akkurat da, ikke slik den ser ut etter neste oppdatering. En audit er verken en forsikring, en garanti eller løpende overvåking, og det er nettopp denne misforståelsen som koster brukere mest.
Året da koden ikke var problemet
Det mest oppsiktsvekkende ved 2025 var ikke bare beløpet, men hvor pengene forsvant. Chainalysis anslår at over 3,4 milliarder dollar ble stjålet gjennom året, og at ett enkelt angrep, tyveriet av rundt 1,5 milliarder dollar (nær 15 milliarder kroner) fra børsen Bybit, sto for nesten 44 prosent av summen. Grupper knyttet til Nord-Korea sto alene for minst 2,02 milliarder dollar.
En gjennomgang fra CoinDesk konkluderte likevel med at det verste hackeråret på rekord ikke først og fremst var et smartkontraktproblem, men et menneskeproblem. Mesteparten av tapene kom fra stjålne private nøkler, phishing og sosial manipulering (social engineering), altså svakheter som ingen kodegjennomgang er laget for å fange. The Block peker på den samme dreiningen mot angrep på enkeltpersoners lommebøker. Lærdommen er grei: en revisjon sikrer koden, men de fleste kronene forsvinner et helt annet sted.
Slik foregår en gjennomgang, steg for steg
Vekten varierer fra selskap til selskap, men de fleste revisjoner følger noen faste steg:
- Avgrensning og trusselmodell: partene blir enige om hvilke kontrakter, hvilken commit og hvilke antakelser som gjelder.
- Automatisk analyse: verktøy for statisk analyse og fuzzing kjøres mot koden. Trail of Bits står for eksempel bak åpne verktøy som Slither og Echidna.
- Manuell gjennomgang: erfarne forskere leser koden linje for linje. Dette er kjernen i arbeidet, og det er her de fleste alvorlige funnene dukker opp.
- Formell verifisering: for kritiske egenskaper kan matematiske bevis vise at koden alltid oppfyller bestemte invarianter, en spesialitet hos blant andre Certora.
- Rapport og retting: funnene rangeres etter alvorlighetsgrad (kritisk, høy, middels, lav), utviklerne retter dem, og en ny runde bekrefter at rettingene faktisk virker.
De store revisjonsselskapene
Markedet domineres av en håndfull selskaper med ulike profiler. OpenZeppelin har vært i drift siden 2015 og leverer kodebiblioteket som er det mest brukte i bransjen; selskapet oppgir selv å ha sikret verdier for over 50 milliarder dollar. Trail of Bits regnes som gullstandarden for kryptografi og avansert verktøyutvikling. Spearbit, med plattformen Cantina, fungerer mer som en markedsplass av uavhengige forskere som settes sammen til skreddersydde team, mens Certora har spesialisert seg på formell verifisering.
| Selskap | Modell | Kjent for | Prisindikasjon (kroner) |
|---|---|---|---|
| OpenZeppelin | Tradisjonell revisjon | Mest brukte kodebibliotek, institusjonell tillit | Hundretusener til millioner |
| Trail of Bits | Revisjon og verktøy | Slither, Echidna, ZK og kryptografi | Hundretusener til millioner |
| Spearbit / Cantina | Forskermarkedsplass | Skreddersydde team per oppdrag | Ca. 320 000 til 475 000 per uke per team |
| Certora | Formell verifisering | Matematiske bevis av invarianter | Hundretusener til millioner |
| Code4rena / Sherlock | Konkurranserevisjon | Mange forskere mot samme kode | Premiepott fra ca. 370 000 |
Tallene er grove anslag, omregnet med en dollarkurs på rundt 9,9 kroner i slutten av juni 2026, og varierer kraftig med omfang og varighet.
Konkurranserevisjon og bug bounties
Ved siden av den tradisjonelle revisjonen har to nyere modeller vokst fram. Konkurranserevisjon, slik Code4rena og Sherlock driver det, slipper mange forskere løs på den samme koden samtidig; de konkurrerer om en fast premiepott, og bare gyldige funn betales ut. Bug bounties, der Immunefi er den største markedsplassen, er løpende programmer der hver gyldige rapport gir en direkte utbetaling avhengig av alvorlighetsgrad.
Immunefi oppgir over 45 000 registrerte forskere og mer enn 110 millioner dollar utbetalt. Den største enkeltutbetalingen i bransjen er fortsatt 10 millioner dollar, om lag 99 millioner kroner, til forskeren satya0x for en kritisk feil i Wormhole i 2022. I 2026 lå de største aktive programmene rundt 16 millioner dollar. Samtidig varsler Code4rena at de avvikler driften og at Immunefi overtar kundene og forskerne, et tegn på at markedet konsoliderer seg.
Balancer-saken: mange revisjoner, kassen tømt likevel
Det tydeligste eksempelet kom 3. november 2025. En angriper tappet rundt 128 millioner dollar, om lag 1,27 milliarder kroner, fra Balancers V2-Vault på under en halvtime, fordelt over flere blokkjeder. Balancer er en av DeFis eldste automatiske markedsplasser (AMM) og hadde vært gjennom mer enn ti revisjoner fra blant andre OpenZeppelin, Trail of Bits og Certora.
Feilen lå i hvordan kontraktene håndterte avrunding i prisberegningen for visse bassenger (pools). Hver enkelt handel tapte under ett wei i presisjon, den minste enheten av ether, et beløp så lite at det normalt regnes som ubetydelig. Men angriperen kjørte over seksti bittesmå handler etter hverandre slik at avrundingsfeilen hopet seg opp og lot ham presse prisene kunstig. Som OpenZeppelin senere påpekte, garanterte de formelt verifiserte egenskapene at protokollen var solvent på et overordnet nivå, men de var ikke sterke nok til å fange nettopp denne avrundingsfeilen. Balancers samlede verdier falt fra 442 til under 200 millioner dollar i løpet av et døgn.
Hva en revisjon ikke fanger
En revisjon er sterkest på det den ser direkte: implementasjonsfeil i koden som faktisk leses. Den er svakest på alt som oppstår i samspillet mellom kode, marked og mennesker. Noen tilbakevendende blindsoner:
- Økonomisk logikk: angrep som utnytter hvordan insentiver, likvidering og prising henger sammen, ikke en konkret kodefeil. Euler Finance tapte nær 197 millioner dollar (rundt 1,9 milliarder kroner) i 2023 på akkurat denne typen.
- Presisjon over tid: avrundingsfeil som er ubetydelige i én handel, men ødeleggende i mange tusen, slik Balancer-saken viste.
- Sammensetning (composability): en kontrakt kan være trygg alene, men farlig i kombinasjon med en annen protokoll som revisorene aldri så.
- Oppgraderbare og utdaterte kontrakter: gammel infrastruktur som blir liggende igjen på kjeden etter en oppgradering, var en gjenganger blant tapene i 2025.
- Orakler og flash loans: manipulering av prisdata og lån uten sikkerhet innenfor én og samme transaksjon.
- Alt utenfor kjeden: private nøkler, kompromittert frontend og sosial manipulering, som sto for mesteparten av tapene i fjor.
Et utvalg angrep mot reviderte prosjekter viser mønsteret:
| Protokoll | Når | Tap (dollar) | Type sårbarhet |
|---|---|---|---|
| Euler Finance | mars 2023 | ca. 197 mill. | Økonomisk logikk (donasjon og likvidering) |
| Hyperliquid | mars 2025 | ca. 6 mill. | Likvideringslogikk utnyttet |
| Balancer V2 | november 2025 | ca. 128 mill. | Avrundingsfeil i prising |
| Bybit (børs) | februar 2025 | ca. 1,5 mrd. | Operasjonelt, utenfor kjeden |
Oversikter som hack-databasen til DefiLlama viser at reviderte protokoller er godt representert på tap-listene, nettopp fordi de mest brukte prosjektene også er de mest reviderte.
Regelverket: Finanstilsynet, MiCA og hva som faktisk kreves
Mange tror regelverket stiller krav om kodegjennomgang. Det gjør det i praksis ikke. I Norge fører Finanstilsynet tilsyn med tilbydere av kryptotjenester (CASP-er), etter at MiCA-forordningen ble innlemmet i EØS-avtalen. MiCA handler om tillatelser, styring, oppbevaring og atskillelse av kundenes midler, markedsmisbruk og informasjonskrav for utstedere, ikke om at en bestemt smartkontrakt må revideres.
Dermed er en revisjon i all hovedsak frivillig markedspraksis og et tillitssignal, ikke et lovkrav. For helt desentraliserte protokoller uten en identifiserbar tilbyder kan store deler av MiCA dessuten falle utenfor. For norske brukere er den praktiske konsekvensen todelt: en revisjonsrapport er nyttig due diligence før du setter inn penger, og hvis uhellet er ute, bør du ta vare på dokumentasjon på tapet, ettersom Skatteetaten behandler realisert tap på kryptovaluta etter egne regler i skattemeldingen.
Slik leser du en revisjonsrapport
Du trenger ikke kunne lese Solidity-kode for å lese en rapport kritisk. Noen spørsmål å stille:
- Omfang og commit: dekker rapporten faktisk koden som er i bruk nå, eller en eldre versjon?
- Dato: en revisjon fra 2022 sier lite om kode som er endret mange ganger siden.
- Hvem og hvordan: er selskapet kjent, og ble det brukt manuell gjennomgang, formell verifisering eller bare verktøy?
- Funn og retting: hvor alvorlige var funnene, ble alle rettet, og ble rettingene bekreftet i en ny runde?
- Endringer etterpå: er kontraktene oppgradert etter revisjonen? I så fall er ikke den delen dekket.
- Aktivt bug bounty: et stort, løpende program er et tegn på at prosjektet tar sikkerhet på alvor også etter lansering.
Konklusjonen er nøktern. En revisjon fra et godt selskap senker risikoen betydelig, men fjerner den ikke. Balancer hadde mer enn ti av dem. Bruk rapportene som ett av flere signaler, ikke som en garanti, og husk at de fleste kronene i 2025 forsvant et sted ingen revisor var satt til å se.
Av redaksjonen i HOGE Wire. Stoffet er til informasjon og utgjør ikke finansiell rådgivning.