{"id":121,"date":"2026-06-29T05:02:34","date_gmt":"2026-06-29T05:02:34","guid":{"rendered":"https:\/\/hoge.gg\/no\/certik-forklart-kryptobransjens-revisor\/"},"modified":"2026-06-29T05:02:34","modified_gmt":"2026-06-29T05:02:34","slug":"certik-forklart-kryptobransjens-revisor","status":"publish","type":"post","link":"https:\/\/hoge.gg\/no\/certik-forklart-kryptobransjens-revisor\/","title":{"rendered":"CertiK forklart: revisoren som vokter kryptobransjen"},"content":{"rendered":"<p class=\"wp-block-paragraph\">CertiK er et av de mest omtalte navnene innen kryptosikkerhet. Selskapet reviderer smartkontrakter, gir prosjekter en sikkerhetsscore i sanntid og utgir noen av bransjens mest siterte tapsstatistikker. Samtidig har CertiK selv st&aring;tt midt i strid om hva en sikkerhetsrevisjon faktisk garanterer. Denne gjennomgangen ser p&aring; hva selskapet gj&oslash;r, hva tallene viser, og hva en CertiK-stempling betyr, og ikke betyr, for norske kryptoinvestorer.<\/p>\n\n<h2 class=\"wp-block-heading\">Hva er CertiK, og hvor kommer selskapet fra?<\/h2>\n\n<p class=\"wp-block-paragraph\">CertiK ble grunnlagt i 2018 av Ronghui Gu og Zhong Shao, to akademikere med tung bakgrunn i datasikkerhet. Gu er professor i informatikk ved Columbia University, mens Shao er professor og har ledet informatikkavdelingen ved Yale University. Navnet spiller p&aring; &laquo;Certified Kernel&raquo;, og selskapets opphav ligger i formell verifikasjon, en matematisk metode for &aring; bevise at programkode oppf&oslash;rer seg slik den skal. Hovedkontoret ligger i New York.<\/p>\n\n<p class=\"wp-block-paragraph\">Fra et akademisk utgangspunkt har CertiK vokst til &aring; bli en av de st&oslash;rste kommersielle akt&oslash;rene innen Web3-sikkerhet, og selskapet <a href=\"https:\/\/www.certik.com\/\">omtaler seg selv som bransjens st&oslash;rste revisor<\/a>. CertiK har hentet rundt 296 millioner dollar i kapital, og en finansieringsrunde i 2022, ledet av Insight Partners, Tiger Global og Advent International med Goldman Sachs og Sequoia p&aring; eiersiden, <a href=\"https:\/\/www.insightpartners.com\/ideas\/certik-the-leading-web3-security-company-doubles-its-valuation-to-2-billion-in-just-3-months\/\">doblet verdsettelsen til to milliarder dollar<\/a>. Selskapet oppgir &aring; ha gjennomf&oslash;rt flere tusen revisjoner, og kundelisten omfatter flere av de store kryptob&oslash;rsene.<\/p>\n\n<h2 class=\"wp-block-heading\">Fra formell verifikasjon til en komplett sikkerhetssuite<\/h2>\n\n<p class=\"wp-block-paragraph\">I dag tilbyr CertiK langt mer enn ren kodegjennomgang. Kjernetjenesten er fortsatt <a href=\"https:\/\/www.certik.com\/products\/smart-contract-audit\">revisjon av smartkontrakter<\/a>, der erfarne sikkerhetseksperter g&aring;r gjennom koden manuelt, supplert med automatiserte og AI-baserte verkt&oslash;y. P&aring; toppen ligger <a href=\"https:\/\/www.certik.com\/products\/formal-verification\">formell verifikasjon<\/a>, som CertiK markedsf&oslash;rer som et matematisk bevis for at en kontrakt oppfyller en gitt spesifikasjon. Det er denne metoden selskapet har sine akademiske r&oslash;tter i.<\/p>\n\n<p class=\"wp-block-paragraph\">Rundt revisjonen har CertiK bygget en bredere portef&oslash;lje. Den omfatter l&oslash;pende overv&aring;king av kontrakter p&aring; kjeden (on-chain monitoring), tiltak mot hvitvasking (AML), penetrasjonstesting og bistand n&aring;r noe f&oslash;rst g&aring;r galt. Alt samles i sanntidsplattformen Skynet, som er det de fleste vanlige brukere m&oslash;ter n&aring;r de sl&aring;r opp et prosjekt f&oslash;r de investerer.<\/p>\n\n<h2 class=\"wp-block-heading\">Slik leser du en Skynet-score<\/h2>\n\n<p class=\"wp-block-paragraph\">Skynet gir hvert prosjekt en sikkerhetsscore basert p&aring; seks kategorier: kodesikkerhet, fundamental helse, operasjonell robusthet, styringsstyrke, markedsstabilitet og tillit i fellesskapet. Tanken er &aring; gi et oppdatert &oslash;yeblikksbilde som g&aring;r utover en enkeltst&aring;ende revisjonsrapport, og som ogs&aring; fanger opp signaler etter at koden er satt i drift.<\/p>\n\n<p class=\"wp-block-paragraph\">En h&oslash;y Skynet-score er likevel ingen garanti. Scoren m&aring;ler observerbare indikatorer p&aring; et bestemt tidspunkt. Den kan ikke forutsi at et team senere t&oslash;mmer prosjektkassen, eller at en oppdatering introduserer et nytt hull dagen etter at scoren ble beregnet. Den b&oslash;r leses som ett av flere signaler, ikke som en fasit, og aldri som en anbefaling om &aring; kj&oslash;pe.<\/p>\n\n<p class=\"wp-block-paragraph\">Skynet ligger bak de gr&oslash;nne sikkerhetsmerkene mange b&oslash;rser og prosjekter viser frem i markedsf&oslash;ringen, og CertiK rangerer selskaper i offentlige oversikter. Det gir innsyn, men skaper ogs&aring; et insentivproblem: prosjektene betaler selv for revisjonen, og et h&oslash;yt synlig merke kan brukes som salgsargument. Som leser b&oslash;r du derfor behandle merket som markedsf&oslash;ring inntil du har lest selve rapporten.<\/p>\n\n<h2 class=\"wp-block-heading\">Hack3d-rapportene: tallene bak kryptokriminaliteten<\/h2>\n\n<p class=\"wp-block-paragraph\">Blant journalister er CertiK kanskje best kjent for Hack3d, kvartals- og &aring;rsrapportene som tallfester tap til hacking, svindel og utnyttelser. Tallene siteres bredt i internasjonale medier og gir et grovt, men nyttig, bilde av trusselbildet i kryptomarkedet.<\/p>\n\n<p class=\"wp-block-paragraph\">For hele 2025 rapporterte CertiK <a href=\"https:\/\/www.globenewswire.com\/news-release\/2025\/12\/24\/3210329\/0\/en\/CertiK-Releases-2025-Skynet-Hack3D-Report-Showing-3-35-Billion-Stolen-in-Blockchain-Security-Incidents.html\">tap p&aring; rundt 3,35 milliarder dollar<\/a>, omtrent 33 milliarder kroner, fordelt p&aring; 630 hendelser. Det er en oppgang p&aring; 37 prosent fra 2024, da tapene l&aring; p&aring; rundt 2,45 milliarder dollar, cirka 24 milliarder kroner. Gjennomsnittstapet per hendelse steg til 5,32 millioner dollar, rundt 53 millioner kroner, en &oslash;kning p&aring; over 66 prosent. Med andre ord ble det f&aelig;rre, men langt dyrere, angrep.<\/p>\n\n<p class=\"wp-block-paragraph\">Allerede <a href=\"https:\/\/www.certik.com\/skynet-report\/hack3d-the-web3-security-quarterly-report-q2-h1-2025\">f&oslash;rste halv&aring;r 2025<\/a> oversteg hele 2024. Med en dollarkurs p&aring; rundt 9,90 kroner (<a href=\"https:\/\/www.norges-bank.no\/en\/topics\/Statistics\/exchange_rates\/?tab=currency&amp;id=USD\">Norges Bank<\/a>, slutten av juni 2026) fordelte tapene seg slik etter angrepsvektor:<\/p>\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Angrepsvektor<\/th><th>Tap i dollar<\/th><th>Tap i kroner (ca.)<\/th><th>Hendelser<\/th><\/tr><\/thead><tbody><tr><td>Kompromittert lommebok og private n&oslash;kler<\/td><td>1,71 mrd<\/td><td>16,9 mrd<\/td><td>34<\/td><\/tr><tr><td>Phishing<\/td><td>411 mill<\/td><td>4,1 mrd<\/td><td>132<\/td><\/tr><tr><td>Kodes&aring;rbarheter<\/td><td>283 mill<\/td><td>2,8 mrd<\/td><td>114<\/td><\/tr><tr><td>Totalt H1 2025<\/td><td>2,47 mrd<\/td><td>24,5 mrd<\/td><td>344<\/td><\/tr><\/tbody><\/table><\/figure>\n\n<p class=\"wp-block-paragraph\">M&oslash;nsteret er tydelig. De st&oslash;rste tapene skyldes ikke n&oslash;dvendigvis avanserte feil i koden, men kompromitterte private n&oslash;kler og phishing, alts&aring; menneskelige og operasjonelle svakheter. Samtidig registrerte CertiK rundt 184 millioner dollar, cirka 1,8 milliarder kroner, i tilbakef&oslash;rte midler i samme periode, noe som viser at ikke alt som stj&aelig;les, forblir tapt.<\/p>\n\n<p class=\"wp-block-paragraph\">Tallene b&oslash;r leses med en viss varsomhet. Ulike sikkerhetsselskaper bruker forskjellige metoder, og bel&oslash;p oppgis gjerne i dollarverdi p&aring; tidspunktet for tyveriet, noe som svinger med markedet. Likevel peker Hack3d-seriene i samme retning som andre m&aring;linger: de samlede tapene i kryptomarkedet ligger p&aring; titalls milliarder kroner i &aring;ret, og kurven har pekt oppover de siste &aring;rene.<\/p>\n\n<h2 class=\"wp-block-heading\">Bybit-ranet og hvorfor 2025 ble et rekord&aring;r<\/h2>\n\n<p class=\"wp-block-paragraph\">Mye av rekorden i 2025 kan spores til &eacute;n enkelt hendelse. I februar 2025 ble kryptob&oslash;rsen Bybit tappet for rundt 1,4 milliarder dollar, n&aelig;r 14 milliarder kroner, i det som regnes som tidenes st&oslash;rste kryptotyveri. Angriperne utnyttet ikke Bybits egne smartkontrakter, men et brukergrensesnitt i Safe{Wallet}, en gratis multisignatur-l&oslash;sning b&oslash;rsen brukte til &aring; flytte Ethereum mellom lommeb&oslash;ker.<\/p>\n\n<p class=\"wp-block-paragraph\">Det amerikanske forbundspolitiet FBI <a href=\"https:\/\/www.ic3.gov\/psa\/2025\/psa250226\">slo fast at Nord-Koreas Lazarus-gruppe sto bak<\/a>, og anslo tapet til rundt 1,5 milliarder dollar. En stor del av midlene ble hvitvasket allerede i l&oslash;pet av de f&oslash;rste timene, og Bybit m&aring;tte hente kortsiktige l&aring;n for &aring; dekke kundeuttak. Saken understreker et poeng CertiK gjentar i rapportene: selv en b&oslash;rs med revidert kode kan falle for angrep rettet mot infrastrukturen, de ansatte og verkt&oslash;yene rundt selve kontraktene.<\/p>\n\n<h2 class=\"wp-block-heading\">Kraken-konflikten: white-hat eller utpressing?<\/h2>\n\n<p class=\"wp-block-paragraph\">CertiK har ikke bare dokumentert andres tap. Selskapet har ogs&aring; v&aelig;rt i sentrum av en av bransjens mest betente konflikter. I juni 2024 fant CertiK-forskere en feil hos kryptob&oslash;rsen Kraken som lot dem bl&aring;se opp kontosaldoer kunstig. I stedet for &aring; n&oslash;ye seg med noen f&aring; bevis-p&aring;-konsept-transaksjoner, slik bransjepraksis tilsier, gjennomf&oslash;rte de en rekke uttak p&aring; til sammen rundt 3 millioner dollar, cirka 30 millioner kroner.<\/p>\n\n<p class=\"wp-block-paragraph\">Krakens sikkerhetssjef Nick Percoco beskrev det som utpressing, fordi midlene ikke ble returnert f&oslash;r b&oslash;rsen gikk med p&aring; en forhandling om bel&oslash;p. CertiK svarte at Kraken truet enkeltansatte og krevde tilbakebetaling uten &aring; oppgi mottaksadresse. At deler av midlene ble sendt gjennom <a href=\"https:\/\/www.dlnews.com\/articles\/defi\/certik-returns-kraken-funds-after-sending-to-tornado-cash\/\">den sanksjonerte mikseren Tornado Cash<\/a>, gjorde ikke saken bedre. Pengene ble til slutt tilbakef&oslash;rt, men episoden utl&oslash;ste en bred debatt om hvor grensen g&aring;r mellom white-hat-forskning og ren kriminalitet.<\/p>\n\n<p class=\"wp-block-paragraph\">Saken fikk f&aring; rettslige f&oslash;lger, men den ble en l&aelig;repenge for bransjen. Den viste hvor uklare reglene for ansvarlig feilrapportering fortsatt er, og hvor raskt en sikkerhetstest kan gli over i noe som ligner et tyveri. For en akt&oslash;r som lever av tillit, var omd&oslash;mmekostnaden trolig st&oslash;rre enn de tre millionene som ble flyttet frem og tilbake.<\/p>\n\n<h2 class=\"wp-block-heading\">N&aring;r revisjon ikke er nok: kritikken mot CertiK<\/h2>\n\n<p class=\"wp-block-paragraph\">CertiK har ogs&aring; f&aring;tt kritikk for selve kjernevirksomheten. Flere prosjekter er blitt hacket eller har gjennomf&oslash;rt en exit-svindel kort tid etter &aring; ha f&aring;tt en CertiK-revisjon. Et mye omtalt eksempel er Merlin, et DeFi-prosjekt p&aring; BNB Chain som <a href=\"https:\/\/www.dlnews.com\/articles\/defi\/merlin-heist-highlights-auditor-certik-role-in-defi-security\/\">forsvant med rundt 1,8 millioner dollar<\/a>, cirka 18 millioner kroner, bare dager etter revisjonen. Sikkerhetsselskapet BlockSec mente det l&aring; &aring;penbar ondsinnet logikk i koden som burde v&aelig;rt fanget opp. Ogs&aring; prosjekter som Spartan Protocol er blitt utnyttet etter &aring; ha v&aelig;rt innom revisoren.<\/p>\n\n<p class=\"wp-block-paragraph\">Kritikken handler dels om volum. Et h&oslash;yt antall revisjoner kan g&aring; ut over kvaliteten p&aring; hver enkelt. CertiK svarer at en revisjon ikke er et godkjentstempel, men en objektiv gjennomgang av et prosjekts kode p&aring; et gitt tidspunkt. Det er en viktig nyanse. En revisjon dekker den koden som faktisk ble levert til gjennomgang, ikke senere endringer, ikke teamets egentlige hensikter, og ikke hvordan private n&oslash;kler oppbevares i praksis. Nettopp derfor er det farlig &aring; lese et revisjonsmerke som en trygghetsgaranti.<\/p>\n\n<h2 class=\"wp-block-heading\">Hva en CertiK-revisjon betyr for norske lesere<\/h2>\n\n<p class=\"wp-block-paragraph\">For norske investorer er det avgj&oslash;rende &aring; skille mellom sikkerhetsrevisjon og finansregulering. En CertiK-rapport eller en h&oslash;y Skynet-score er ikke en tillatelse fra Finanstilsynet, og den gir ingen av de rettighetene et regulert tilbud gj&oslash;r. En privat akt&oslash;r som CertiK vurderer kode og prosesser; den f&oslash;rer ikke tilsyn med selskapet p&aring; vegne av myndighetene.<\/p>\n\n<p class=\"wp-block-paragraph\">Siden 1. juli 2025 gjelder <a href=\"https:\/\/www.finanstilsynet.no\/tema\/kryptoeiendeler-mica\/\">lov om kryptoeiendeler<\/a> i Norge, som gjennomf&oslash;rer EUs MiCA-forordning gjennom E&Oslash;S-avtalen. Loven stiller krav til kryptoeiendelstjenesteytere, omtalt som CASP-er, om blant annet investorbeskyttelse, informasjon og markedsintegritet, og Finanstilsynet f&oslash;rer tilsyn. En kodegjennomgang fra CertiK erstatter ikke dette regelverket, og den sier heller ingenting om skatt. Skatteetaten behandler gevinst fra kryptohandel som skattepliktig inntekt uansett hvor grundig revidert et prosjekt m&aring;tte v&aelig;re.<\/p>\n\n<h2 class=\"wp-block-heading\">Slik bruker du CertiK i egen aktsomhet<\/h2>\n\n<p class=\"wp-block-paragraph\">En CertiK-stempling er et nyttig signal, men bare ett av mange. Bruk den som et utgangspunkt for egne unders&oslash;kelser, ikke som en konklusjon:<\/p>\n\n<ul class=\"wp-block-list\"><li>Sjekk om revisjonen faktisk gjelder den versjonen av koden som kj&oslash;rer n&aring;, ikke en eldre utgave.<\/li><li>Les selve funnene, ikke bare totalscoren. En rapport kan liste alvorlige funn som er merket som &laquo;acknowledged&raquo; i stedet for &laquo;resolved&raquo;.<\/li><li>Se etter flere uavhengige revisjoner. &Eacute;n revisor fanger sjelden alt.<\/li><li>Vurder hvem som kontrollerer private n&oslash;kler og administratorrettigheter, siden de st&oslash;rste tapene i 2025 kom fra nettopp kompromitterte n&oslash;kler.<\/li><li>Husk at verken en revisjon eller en h&oslash;y score er en tillatelse fra Finanstilsynet eller en forsikring mot tap.<\/li><\/ul>\n\n<p class=\"wp-block-paragraph\">CertiK fyller en reell funksjon i et marked der kode forvalter enorme verdier, og rapportene selskapet utgir er blant de beste &aring;pne kildene vi har til omfanget av kryptokriminalitet. Men historien om selskapet er samtidig en p&aring;minnelse om at sikkerhet ikke kan settes bort til ett enkelt stempel. For norske lesere er den tryggeste tiln&aelig;rmingen &aring; kombinere tredjepartsrevisjoner med sunn skepsis, spredning av risiko og kunnskap om hvilke rettigheter MiCA-regelverket faktisk gir.<\/p>\n\n<p class=\"wp-block-paragraph\">Av HOGE Wire-redaksjonen, sikkerhet og marked.<\/p>","protected":false},"excerpt":{"rendered":"<p>CertiK reviderer smartkontrakter, rangerer prosjekter i Skynet og tallfester kryptotap i Hack3d-rapportene. Men hva garanterer en revisjon egentlig, og hva betyr den for norske investorer?<\/p>\n","protected":false},"author":4,"featured_media":122,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[],"class_list":["post-121","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security-exploits"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/posts\/121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/comments?post=121"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/posts\/121\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/media\/122"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/media?parent=121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/categories?post=121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/no\/wp-json\/wp\/v2\/tags?post=121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}