{"id":115,"date":"2026-06-28T04:59:26","date_gmt":"2026-06-28T04:59:26","guid":{"rendered":"https:\/\/hoge.gg\/no\/sikkerhetsrevisjon-smartkontrakter-hva-audits-fanger\/"},"modified":"2026-06-28T04:59:26","modified_gmt":"2026-06-28T04:59:26","slug":"sikkerhetsrevisjon-smartkontrakter-hva-audits-fanger","status":"publish","type":"post","link":"https:\/\/hoge.gg\/no\/sikkerhetsrevisjon-smartkontrakter-hva-audits-fanger\/","title":{"rendered":"Revidert, testet, likevel hacket: hva audits faktisk fanger"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Nesten alle seri\u00f8se DeFi-prosjekter viser i dag fram en eller flere revisjonsrapporter f\u00f8r de slipper smartkontraktene sine l\u00f8s p\u00e5 blokkjeden. En rapport fra et anerkjent revisjonsselskap har blitt et tillitssignal, omtrent som et stempel p\u00e5 at koden er gransket av eksperter. Likevel ble 2025 det verste \u00e5ret som er registrert for kryptotyverier, med over 3,4 milliarder dollar, godt over 33 milliarder kroner, stj\u00e5let if\u00f8lge <a href=\"https:\/\/www.chainalysis.com\/blog\/crypto-hacking-stolen-funds-2026\/\">Chainalysis<\/a>.<\/p>\n\n\n<p class=\"wp-block-paragraph\">Hvordan kan begge deler stemme p\u00e5 samme tid? Svaret ligger i hva en sikkerhetsrevisjon faktisk er, og like viktig, hva den ikke er. Denne gjennomgangen forklarer hvordan revisjoner foreg\u00e5r, hvem de store akt\u00f8rene er, hva de koster i kroner, og hvorfor en protokoll kan best\u00e5 mer enn ti revisjoner og likevel bli t\u00f8mt p\u00e5 under en halvtime.<\/p>\n\n\n<h2 class=\"wp-block-heading\">Hva en sikkerhetsrevisjon faktisk er<\/h2>\n\n\n<p class=\"wp-block-paragraph\">En sikkerhetsrevisjon, ofte bare kalt en audit, er en strukturert gjennomgang av kildekoden til en eller flere smartkontrakter p\u00e5 et bestemt tidspunkt. Eksterne sikkerhetsforskere leser koden, kj\u00f8rer verkt\u00f8y mot den og pr\u00f8ver \u00e5 tenke som en angriper for \u00e5 finne svakheter f\u00f8r kontraktene tas i bruk.<\/p>\n\n\n<p class=\"wp-block-paragraph\">Tre ord er verdt \u00e5 feste seg ved: avgrenset, tidsbestemt og \u00f8yeblikksbilde. En revisjon dekker et definert omfang, som regel navngitte kontrakter p\u00e5 en bestemt commit i kodebasen, innenfor et avtalt antall uker. Den sier noe om koden slik den s\u00e5 ut akkurat da, ikke slik den ser ut etter neste oppdatering. En audit er verken en forsikring, en garanti eller l\u00f8pende overv\u00e5king, og det er nettopp denne misforst\u00e5elsen som koster brukere mest.<\/p>\n\n\n<h2 class=\"wp-block-heading\">\u00c5ret da koden ikke var problemet<\/h2>\n\n\n<p class=\"wp-block-paragraph\">Det mest oppsiktsvekkende ved 2025 var ikke bare bel\u00f8pet, men hvor pengene forsvant. Chainalysis ansl\u00e5r at over 3,4 milliarder dollar ble stj\u00e5let gjennom \u00e5ret, og at ett enkelt angrep, tyveriet av rundt 1,5 milliarder dollar (n\u00e6r 15 milliarder kroner) fra b\u00f8rsen Bybit, sto for nesten 44 prosent av summen. Grupper knyttet til Nord-Korea sto alene for minst 2,02 milliarder dollar.<\/p>\n\n\n<p class=\"wp-block-paragraph\">En gjennomgang fra <a href=\"https:\/\/www.coindesk.com\/business\/2026\/01\/19\/crypto-s-worst-year-for-hacks-wasn-t-a-smart-contract-problem-it-was-a-people-problem\">CoinDesk<\/a> konkluderte likevel med at det verste hacker\u00e5ret p\u00e5 rekord ikke f\u00f8rst og fremst var et smartkontraktproblem, men et menneskeproblem. Mesteparten av tapene kom fra stj\u00e5lne private n\u00f8kler, phishing og sosial manipulering (social engineering), alts\u00e5 svakheter som ingen kodegjennomgang er laget for \u00e5 fange. <a href=\"https:\/\/www.theblock.co\/post\/382477\/crypto-hack-2025-chainalysis\">The Block<\/a> peker p\u00e5 den samme dreiningen mot angrep p\u00e5 enkeltpersoners lommeb\u00f8ker. L\u00e6rdommen er grei: en revisjon sikrer koden, men de fleste kronene forsvinner et helt annet sted.<\/p>\n\n\n<h2 class=\"wp-block-heading\">Slik foreg\u00e5r en gjennomgang, steg for steg<\/h2>\n\n\n<p class=\"wp-block-paragraph\">Vekten varierer fra selskap til selskap, men de fleste revisjoner f\u00f8lger noen faste steg:<\/p>\n\n\n<ul class=\"wp-block-list\"><li>Avgrensning og trusselmodell: partene blir enige om hvilke kontrakter, hvilken commit og hvilke antakelser som gjelder.<\/li><li>Automatisk analyse: verkt\u00f8y for statisk analyse og fuzzing kj\u00f8res mot koden. Trail of Bits st\u00e5r for eksempel bak \u00e5pne verkt\u00f8y som <a href=\"https:\/\/github.com\/crytic\/slither\">Slither<\/a> og Echidna.<\/li><li>Manuell gjennomgang: erfarne forskere leser koden linje for linje. Dette er kjernen i arbeidet, og det er her de fleste alvorlige funnene dukker opp.<\/li><li>Formell verifisering: for kritiske egenskaper kan matematiske bevis vise at koden alltid oppfyller bestemte invarianter, en spesialitet hos blant andre Certora.<\/li><li>Rapport og retting: funnene rangeres etter alvorlighetsgrad (kritisk, h\u00f8y, middels, lav), utviklerne retter dem, og en ny runde bekrefter at rettingene faktisk virker.<\/li><\/ul>\n\n\n<h2 class=\"wp-block-heading\">De store revisjonsselskapene<\/h2>\n\n\n<p class=\"wp-block-paragraph\">Markedet domineres av en h\u00e5ndfull selskaper med ulike profiler. <a href=\"https:\/\/www.openzeppelin.com\/\">OpenZeppelin<\/a> har v\u00e6rt i drift siden 2015 og leverer kodebiblioteket som er det mest brukte i bransjen; selskapet oppgir selv \u00e5 ha sikret verdier for over 50 milliarder dollar. Trail of Bits regnes som gullstandarden for kryptografi og avansert verkt\u00f8yutvikling. Spearbit, med plattformen Cantina, fungerer mer som en markedsplass av uavhengige forskere som settes sammen til skreddersydde team, mens Certora har spesialisert seg p\u00e5 formell verifisering.<\/p>\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Selskap<\/th><th>Modell<\/th><th>Kjent for<\/th><th>Prisindikasjon (kroner)<\/th><\/tr><\/thead><tbody><tr><td>OpenZeppelin<\/td><td>Tradisjonell revisjon<\/td><td>Mest brukte kodebibliotek, institusjonell tillit<\/td><td>Hundretusener til millioner<\/td><\/tr><tr><td>Trail of Bits<\/td><td>Revisjon og verkt\u00f8y<\/td><td>Slither, Echidna, ZK og kryptografi<\/td><td>Hundretusener til millioner<\/td><\/tr><tr><td>Spearbit \/ Cantina<\/td><td>Forskermarkedsplass<\/td><td>Skreddersydde team per oppdrag<\/td><td>Ca. 320 000 til 475 000 per uke per team<\/td><\/tr><tr><td>Certora<\/td><td>Formell verifisering<\/td><td>Matematiske bevis av invarianter<\/td><td>Hundretusener til millioner<\/td><\/tr><tr><td>Code4rena \/ Sherlock<\/td><td>Konkurranserevisjon<\/td><td>Mange forskere mot samme kode<\/td><td>Premiepott fra ca. 370 000<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n<p class=\"wp-block-paragraph\">Tallene er grove anslag, omregnet med en dollarkurs p\u00e5 rundt 9,9 kroner i slutten av juni 2026, og varierer kraftig med omfang og varighet.<\/p>\n\n\n<h2 class=\"wp-block-heading\">Konkurranserevisjon og bug bounties<\/h2>\n\n\n<p class=\"wp-block-paragraph\">Ved siden av den tradisjonelle revisjonen har to nyere modeller vokst fram. Konkurranserevisjon, slik Code4rena og Sherlock driver det, slipper mange forskere l\u00f8s p\u00e5 den samme koden samtidig; de konkurrerer om en fast premiepott, og bare gyldige funn betales ut. Bug bounties, der <a href=\"https:\/\/immunefi.com\/bug-bounty\/\">Immunefi<\/a> er den st\u00f8rste markedsplassen, er l\u00f8pende programmer der hver gyldige rapport gir en direkte utbetaling avhengig av alvorlighetsgrad.<\/p>\n\n\n<p class=\"wp-block-paragraph\">Immunefi oppgir over 45 000 registrerte forskere og mer enn 110 millioner dollar utbetalt. Den st\u00f8rste enkeltutbetalingen i bransjen er fortsatt 10 millioner dollar, om lag 99 millioner kroner, til forskeren satya0x for en kritisk feil i Wormhole i 2022. I 2026 l\u00e5 de st\u00f8rste aktive programmene rundt 16 millioner dollar. Samtidig <a href=\"https:\/\/www.theblock.co\/post\/401179\/immufefi-absorb-code4rena-bug-bounty-customers-shutdown-decision\">varsler Code4rena<\/a> at de avvikler driften og at Immunefi overtar kundene og forskerne, et tegn p\u00e5 at markedet konsoliderer seg.<\/p>\n\n\n<h2 class=\"wp-block-heading\">Balancer-saken: mange revisjoner, kassen t\u00f8mt likevel<\/h2>\n\n\n<p class=\"wp-block-paragraph\">Det tydeligste eksempelet kom 3. november 2025. En angriper tappet rundt 128 millioner dollar, om lag 1,27 milliarder kroner, fra Balancers V2-Vault p\u00e5 under en halvtime, fordelt over flere blokkjeder. Balancer er en av DeFis eldste automatiske markedsplasser (AMM) og hadde v\u00e6rt gjennom mer enn ti revisjoner fra blant andre <a href=\"https:\/\/www.openzeppelin.com\/news\/understanding-the-balancer-v2-exploit\">OpenZeppelin<\/a>, <a href=\"https:\/\/blog.trailofbits.com\/2025\/11\/07\/balancer-hack-analysis-and-guidance-for-the-defi-ecosystem\/\">Trail of Bits<\/a> og Certora.<\/p>\n\n\n<p class=\"wp-block-paragraph\">Feilen l\u00e5 i hvordan kontraktene h\u00e5ndterte avrunding i prisberegningen for visse bassenger (pools). Hver enkelt handel tapte under ett wei i presisjon, den minste enheten av ether, et bel\u00f8p s\u00e5 lite at det normalt regnes som ubetydelig. Men angriperen kj\u00f8rte over seksti bittesm\u00e5 handler etter hverandre slik at avrundingsfeilen hopet seg opp og lot ham presse prisene kunstig. Som OpenZeppelin senere p\u00e5pekte, garanterte de formelt verifiserte egenskapene at protokollen var solvent p\u00e5 et overordnet niv\u00e5, men de var ikke sterke nok til \u00e5 fange nettopp denne avrundingsfeilen. Balancers samlede verdier falt fra 442 til under 200 millioner dollar i l\u00f8pet av et d\u00f8gn.<\/p>\n\n\n<h2 class=\"wp-block-heading\">Hva en revisjon ikke fanger<\/h2>\n\n\n<p class=\"wp-block-paragraph\">En revisjon er sterkest p\u00e5 det den ser direkte: implementasjonsfeil i koden som faktisk leses. Den er svakest p\u00e5 alt som oppst\u00e5r i samspillet mellom kode, marked og mennesker. Noen tilbakevendende blindsoner:<\/p>\n\n\n<ul class=\"wp-block-list\"><li>\u00d8konomisk logikk: angrep som utnytter hvordan insentiver, likvidering og prising henger sammen, ikke en konkret kodefeil. Euler Finance tapte n\u00e6r 197 millioner dollar (rundt 1,9 milliarder kroner) i 2023 p\u00e5 akkurat denne typen.<\/li><li>Presisjon over tid: avrundingsfeil som er ubetydelige i \u00e9n handel, men \u00f8deleggende i mange tusen, slik Balancer-saken viste.<\/li><li>Sammensetning (composability): en kontrakt kan v\u00e6re trygg alene, men farlig i kombinasjon med en annen protokoll som revisorene aldri s\u00e5.<\/li><li>Oppgraderbare og utdaterte kontrakter: gammel infrastruktur som blir liggende igjen p\u00e5 kjeden etter en oppgradering, var en gjenganger blant tapene i 2025.<\/li><li>Orakler og flash loans: manipulering av prisdata og l\u00e5n uten sikkerhet innenfor \u00e9n og samme transaksjon.<\/li><li>Alt utenfor kjeden: private n\u00f8kler, kompromittert frontend og sosial manipulering, som sto for mesteparten av tapene i fjor.<\/li><\/ul>\n\n\n<p class=\"wp-block-paragraph\">Et utvalg angrep mot reviderte prosjekter viser m\u00f8nsteret:<\/p>\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Protokoll<\/th><th>N\u00e5r<\/th><th>Tap (dollar)<\/th><th>Type s\u00e5rbarhet<\/th><\/tr><\/thead><tbody><tr><td>Euler Finance<\/td><td>mars 2023<\/td><td>ca. 197 mill.<\/td><td>\u00d8konomisk logikk (donasjon og likvidering)<\/td><\/tr><tr><td>Hyperliquid<\/td><td>mars 2025<\/td><td>ca. 6 mill.<\/td><td>Likvideringslogikk utnyttet<\/td><\/tr><tr><td>Balancer V2<\/td><td>november 2025<\/td><td>ca. 128 mill.<\/td><td>Avrundingsfeil i prising<\/td><\/tr><tr><td>Bybit (b\u00f8rs)<\/td><td>februar 2025<\/td><td>ca. 1,5 mrd.<\/td><td>Operasjonelt, utenfor kjeden<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n<p class=\"wp-block-paragraph\">Oversikter som hack-databasen til <a href=\"https:\/\/defillama.com\/hacks\">DefiLlama<\/a> viser at reviderte protokoller er godt representert p\u00e5 tap-listene, nettopp fordi de mest brukte prosjektene ogs\u00e5 er de mest reviderte.<\/p>\n\n\n<h2 class=\"wp-block-heading\">Regelverket: Finanstilsynet, MiCA og hva som faktisk kreves<\/h2>\n\n\n<p class=\"wp-block-paragraph\">Mange tror regelverket stiller krav om kodegjennomgang. Det gj\u00f8r det i praksis ikke. I Norge f\u00f8rer <a href=\"https:\/\/www.finanstilsynet.no\/\">Finanstilsynet<\/a> tilsyn med tilbydere av kryptotjenester (CASP-er), etter at <a href=\"https:\/\/www.esma.europa.eu\/esmas-activities\/digital-finance-and-innovation\/markets-crypto-assets-regulation-mica\">MiCA-forordningen<\/a> ble innlemmet i E\u00d8S-avtalen. MiCA handler om tillatelser, styring, oppbevaring og atskillelse av kundenes midler, markedsmisbruk og informasjonskrav for utstedere, ikke om at en bestemt smartkontrakt m\u00e5 revideres.<\/p>\n\n\n<p class=\"wp-block-paragraph\">Dermed er en revisjon i all hovedsak frivillig markedspraksis og et tillitssignal, ikke et lovkrav. For helt desentraliserte protokoller uten en identifiserbar tilbyder kan store deler av MiCA dessuten falle utenfor. For norske brukere er den praktiske konsekvensen todelt: en revisjonsrapport er nyttig due diligence f\u00f8r du setter inn penger, og hvis uhellet er ute, b\u00f8r du ta vare p\u00e5 dokumentasjon p\u00e5 tapet, ettersom Skatteetaten behandler realisert tap p\u00e5 kryptovaluta etter egne regler i skattemeldingen.<\/p>\n\n\n<h2 class=\"wp-block-heading\">Slik leser du en revisjonsrapport<\/h2>\n\n\n<p class=\"wp-block-paragraph\">Du trenger ikke kunne lese Solidity-kode for \u00e5 lese en rapport kritisk. Noen sp\u00f8rsm\u00e5l \u00e5 stille:<\/p>\n\n\n<ul class=\"wp-block-list\"><li>Omfang og commit: dekker rapporten faktisk koden som er i bruk n\u00e5, eller en eldre versjon?<\/li><li>Dato: en revisjon fra 2022 sier lite om kode som er endret mange ganger siden.<\/li><li>Hvem og hvordan: er selskapet kjent, og ble det brukt manuell gjennomgang, formell verifisering eller bare verkt\u00f8y?<\/li><li>Funn og retting: hvor alvorlige var funnene, ble alle rettet, og ble rettingene bekreftet i en ny runde?<\/li><li>Endringer etterp\u00e5: er kontraktene oppgradert etter revisjonen? I s\u00e5 fall er ikke den delen dekket.<\/li><li>Aktivt bug bounty: et stort, l\u00f8pende program er et tegn p\u00e5 at prosjektet tar sikkerhet p\u00e5 alvor ogs\u00e5 etter lansering.<\/li><\/ul>\n\n\n<p class=\"wp-block-paragraph\">Konklusjonen er n\u00f8ktern. En revisjon fra et godt selskap senker risikoen betydelig, men fjerner den ikke. Balancer hadde mer enn ti av dem. Bruk rapportene som ett av flere signaler, ikke som en garanti, og husk at de fleste kronene i 2025 forsvant et sted ingen revisor var satt til \u00e5 se.<\/p>\n\n\n<p class=\"wp-block-paragraph\"><em>Av redaksjonen i HOGE Wire. Stoffet er til informasjon og utgj\u00f8r ikke finansiell r\u00e5dgivning.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hack etter hack rammer DeFi-prosjekter som har best\u00e5tt flere audits. Vi forklarer hva en sikkerhetsrevisjon fanger, hva den overser, og hvorfor den aldri er en garanti.<\/p>\n","protected":false},"author":4,"featured_media":116,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[],"class_list":["post-115","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security-exploits"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/posts\/115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/comments?post=115"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/posts\/115\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/media\/116"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/media?parent=115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/categories?post=115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/tags?post=115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}