h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Culture & Long-reads

Protokoll-postmortem: så obduceras ett kraschat kryptoprojekt

När ett kryptoprotokoll hackas eller kollapsar skrivs en postmortem, en obduktion av koden. Vi förklarar genren, går igenom de största fallen och visar hur du läser rapporterna kritiskt.

Varje gång ett kryptoprotokoll töms på pengar eller rasar samman händer något nästan rituellt. Inom några timmar, ibland minuter, börjar teamet, säkerhetsforskare och anonyma utredare skriva. Resultatet kallas postmortem: en obduktionsrapport för kod och kapital. För en publik som följer både spel och krypto har genren blivit ett eget kulturfenomen, lika mycket berättarkonst som teknik. Här reder vi ut vad en postmortem är, varför den finns och hur du läser den utan att gå på myterna. Att kunna tyda en obduktion är, kort sagt, en av de viktigaste färdigheterna för den som rör sig i kryptovärlden.

Vad en protokoll-postmortem faktiskt är

En postmortem är en offentlig redogörelse som publiceras efter en incident: ett hack, en utnyttjad sårbarhet, ett stablecoin som tappar sin koppling eller en bugg som låser användarnas pengar. Formatet är lånat från ingenjörskulturen, där flygbranschen och mjukvaruteam länge skrivit ”blameless” rapporter vars syfte är att förstå felet, inte att hänga ut en syndabock. Skillnaden i krypto är att allt sker inför öppen ridå. Blockkedjan är offentlig, så vem som helst kan följa de stulna pengarna i realtid, transaktion för transaktion. Verktyg som Etherscan gör att även en hobbyutredare kan spåra flödet, och det förändrar maktbalansen mellan protokoll och publik.

Den öppenheten har skapat en egen journalistik. Sajter som rekt.news och dess topplista har gjort obduktionen till underhållning, med en svart humor som påminner om sportreferat. Där ett vanligt företag kan tysta ner ett dataintrång tvingas ett protokoll i praktiken att kommentera, eftersom kedjan redan har avslöjat vad som hänt. En postmortem är därför både en teknisk rapport och ett försvarstal inför en publik som redan sett brottet ske. Tonen kan vara skämtsam, men funktionen är allvarlig: rapporterna är det närmaste branschen kommer en gemensam erfarenhetsbank.

Med tiden har formen blivit nästan litterär. Den bästa rapporten läses som en deckare, fast med tidsstämplar och plånboksadresser i stället för fingeravtryck, och de återkommande figurerna, white hats, exploit-jägare och anonyma utvecklare, har blivit lika igenkännbara som karaktärer i en följetong.

Genren föddes med The DAO

Mallen för allt som följt sattes i juni 2016. The DAO var en investeringsfond styrd av kod på Ethereum, och en angripare utnyttjade en så kallad reentrancy-bugg för att tömma ungefär 3,6 miljoner ether, värt runt 60 miljoner dollar (cirka 580 miljoner kronor) vid tillfället. Felet låg inte i någon server utan i logiken: kontraktet betalade ut pengar innan det uppdaterade saldot, så angriparen kunde be om samma uttag om och om igen. Reentrancy blev efter The DAO själva sinnebilden för hur fel ordningsföljd i koden kan kosta en förmögenhet.

Det som gjorde fallet historiskt var inte buggen utan beslutet efteråt. Ethereums utvecklare valde att backa kedjan och flytta tillbaka pengarna genom en hard fork, dokumenterad i efterhand som EIP-779, ”Hardfork Meta: DAO Fork”. En minoritet vägrade acceptera ingreppet med argumentet att ”koden är lag”, och de fortsatte på den ursprungliga kedjan som lever vidare som Ethereum Classic. Varje postmortem sedan dess läses mot den konflikten: ska vi gripa in, eller ska vi låta resultatet stå?

Anatomin i en trovärdig rapport

En postmortem som går att lita på följer ungefär samma skelett, oavsett om den skrivs av ett miljardprotokoll eller av en anonym utvecklare klockan tre på natten. Tänk på listan nedan som en checklista: ju fler punkter som besvaras rakt, desto mer seriöst är teamet. Saknas en av delarna bör du höja på ögonbrynen.

  • Tidslinje med klockslag, gärna i UTC, för när angreppet började och upptäcktes.
  • Grundorsak som pekar ut den exakta funktionen eller raden, inte bara ”en sårbarhet”.
  • Transaktionshashar på kedjan så att vem som helst kan verifiera flödet.
  • Omfattning: exakt vilka tillgångar som drabbats och hur mycket, i token och i kronor.
  • Akuta åtgärder, till exempel pausade kontrakt eller stängda marknader.
  • Kompensationsplan och en konkret tidsplan för de långsiktiga fixarna.

En svag rapport känns igen på det motsatta: vaga formuleringar, en ”avancerad och sofistikerad angripare” som hela förklaringen och ett påfallande tyst parti om vem som bar ansvaret. Ju mer text som ägnas åt hur oturligt allt var, desto mindre brukar det stå om vad som faktiskt gick fel.

De största fallen, sammanfattade

Tabellen nedan samlar några av de incidenter som format genren. Beloppen i kronor är ungefärliga och räknade på en kurs kring 9,7 kronor per dollar; aktuella kurser för enskilda tokens hittar du hos CoinGecko, där ether i skrivande stund ligger kring 15 000 kronor.

IncidentTidpunktFörlust (USD)Förlust (ca SEK)Efterspel
The DAOJuni 2016ca 60 miljoner (3,6 miljoner ETH)ca 580 miljonerHard fork; kedjan delas i Ethereum och Ethereum Classic
Poly NetworkAug 2021ca 610 miljonerca 5,9 miljarderAllt återlämnat; angriparen kallades Mr White Hat
WormholeFeb 2022ca 320 miljonerca 3,1 miljarderJump Crypto fyllde hålet inom ett dygn
Ronin (Axie Infinity)Mars 2022ca 625 miljonerca 6,1 miljarderLazarus Group; Sky Mavis tog in nytt kapital
Terra/Luna (UST)Maj 2022ca 40 miljarder i marknadsvärdeca 390 miljarderTotal kollaps; Do Kwon dömd till 15 års fängelse
NomadAug 2022ca 190 miljonerca 1,8 miljarderÖppen plundring där vem som helst kunde delta
Mango MarketsOkt 2022ca 114 miljonerca 1,1 miljarderPrismanipulation; gärningsmannen dömd
Euler FinanceMars 2023ca 197 miljonerca 1,9 miljarderNästan allt återlämnat efter förhandling
Curve (Vyper)Juli 2023ca 69 miljonerca 670 miljonerKompilatorbugg; stor del återbördad

Spelvärldens egen mardröm: Ronin och Axie Infinity

Få fall berör spelpubliken lika direkt som Ronin. Ronin var sidokedjan byggd för Axie Infinity, det play-to-earn-spel där tusentals spelare, många i Sydostasien, faktiskt försörjde sig på att spela. För dem var Axie inte en hobby utan en lön, vilket gjorde stöldens mänskliga kostnad mer påtaglig än i de flesta DeFi-dramer. I mars 2022 kom angriparna över fem av de nio validatornycklar som krävdes för att godkänna uttag och förde bort 173 600 ether och 25,5 miljoner USDC, tillsammans runt 625 miljoner dollar (cirka 6,1 miljarder kronor).

Det mest talande var inte summan utan att stölden upptäcktes först sex dagar senare, när en användare inte fick ut sina pengar. Amerikanska myndigheter knöt snart dådet till den nordkoreanska Lazarus Group, enligt CoinDesk, vilket gjorde postmortemen lika mycket till en geopolitisk historia som en teknisk. Utvecklaren Sky Mavis tog in nytt kapital för att betala tillbaka spelarna, men för många bröts inkomsten i månader. För en spelpublik är läxan obekväm: pengarna i ett spel kan vara lika sårbara som i vilket bankvalv som helst, fast utan insättningsgaranti.

När kompilatorn var buggen: Curve och Vyper

Ibland pekar obduktionen åt ett oväntat håll. När flera av Curve Finances pooler tömdes i juli 2023 på sammanlagt omkring 69 miljoner dollar (cirka 670 miljoner kronor) låg felet inte i Curves egna kontrakt, utan i Vyper, det programmeringsspråk som kontrakten skrivits i. Vissa versioner av kompilatorn hanterade det så kallade reentrancy-låset fel, så att skyddet som skulle stoppa just den typen av attack i praktiken var avstängt.

Spåren ledde tillbaka till hur lås med namngivna nycklar genererades i koden, något som hanterats i öppna ändringar i Vypers GitHub-repo långt innan attacken. Lärdomen är obekväm: ett protokoll kan vara granskat och korrekt skrivet och ändå falla på ett fel i den gemensamma infrastruktur som hundratals projekt delar. En bra postmortem vågar peka uppströms, även när det inte är det egna teamet som klantat sig.

Att förhandla med tjuven: white hats, bounties och återbetalningar

En udda del av kulturen är att många stölder faktiskt slutar med att pengarna kommer tillbaka. När Poly Network förlorade drygt 610 miljoner dollar (cirka 5,9 miljarder kronor) i augusti 2021 inledde teamet en offentlig dialog med angriparen, började artigt kalla personen Mr White Hat och fick, enligt CNBC, tillbaka i stort sett allt inom två veckor. Bakom artigheten låg en kall logik: på en öppen kedja är stulna pengar lätta att spåra och svåra att växla in.

Liknande mönster återkom på flera håll. Efter Wormhole-hacket i februari 2022 fyllde handelsfirman Jump Crypto igen hålet på 320 miljoner dollar inom ett dygn för att hålla bron solvent, något Chainalysis beskrivit i detalj. Och när Euler Finance dränerades på 197 miljoner dollar i mars 2023 lämnade angriparen, efter en rad meddelanden på kedjan, tillbaka nästan allt, varefter återbetalningen hanterades öppet i protokollets styrningsforum. Kritiker invänder att amnesti och bug bounties riskerar att normalisera stöld, men för drabbade användare är en återbetalning oftast bättre än en principdebatt. Mönstret säger något om kryptoekonomin i stort: samma transparens som möjliggör stölderna är ofta det som tvingar fram pengarna igen.

Terra: när postmortem blev åtal

Alla katastrofer går inte att skriva en prydlig teknisk rapport om. Terra var inget hack utan ett konstruktionsfel. Stablecoinet UST höll sin dollarkurs genom en algoritm kopplad till systertoken Luna, och i maj 2022 brast förtroendet. Konstruktionen byggde helt på förtroende, och när förtroendet vek fanns inget golv kvar. När UST tappade kopplingen mintades Luna i en accelererande spiral tills värdet kollapsade, och uppemot 40 miljarder dollar (cirka 390 miljarder kronor) i marknadsvärde försvann på några dygn.

Här fanns ingen kompilator att skylla på och ingen white hat att förhandla med. Obduktionen flyttade i stället från GitHub till rättssalen. Grundaren Do Kwon dömdes i slutet av 2025 till 15 års fängelse för bedrägeri, enligt Bloomberg, och tvingades förverka tillgångar. Skillnaden mot ett vanligt hack är central: ett exploit utnyttjar ett misstag i koden, medan Terra var ett misstag i själva idén, sålt som om risken inte fanns.

Finansinspektionen, MiCA och hur du läser en rapport kritiskt

För svenska läsare är det värt att minnas vad en postmortem inte är: den är varken en återbetalning eller en garanti. Finansinspektionen varnar för att skyddet är begränsat om något går fel med kryptotillgångar, och för att branschen är full av bedrägerier. EU:s regelverk MiCA har skärpt kraven och tvingar numera kryptoföretag att ha tillstånd, men en publicerad obduktion ersätter aldrig den insättningsgaranti du har på ett vanligt bankkonto. Reglering höjer ribban, men tar inte bort risken.

När du själv läser en rapport, ställ några enkla kontrollfrågor. Vem har skrivit den, och har de något att vinna på en viss version? Finns det transaktionshashar att verifiera, eller bara påståenden? Erkänns en konkret grundorsak, eller gömmer sig texten bakom ordet ”sofistikerad”? Och stämmer bilden med oberoende källor, som rekt.news eller etablerad finanspress? En ärlig postmortem gör dig klokare på risken. En undflyende gör dig till en del av nästa rubrik.

Text: Johan Lindqvist, senior redaktör på HOGE Wire. Innehållet är allmän information och utgör inte finansiell rådgivning.

Share 𝕏 Post Telegram