Protokoll-post-mortem: konsten att obducera ett kryptohack
När ett kryptoprotokoll töms på pengar följer ofta en offentlig obduktion: en post-mortem. Vi förklarar genren, dess kultur och vad MiCA och Finansinspektionen nu kräver.
Varje gång ett kryptoprotokoll töms på pengar händer något som sällan syns i andra branscher: teamet bakom koden sätter sig ner och skriver en offentlig obduktion. Den kallas post-mortem, den publiceras ofta inom timmar eller dygn, och den beskriver i pinsam detalj hur angriparen tog sig in, hur mycket som försvann och vad som ska hända härnäst. För en utomstående kan det verka udda att frivilligt dokumentera sitt eget största misslyckande. Inom DeFi har det blivit en av kulturens mest avslöjande ritualer.
Den här texten förklarar genren: var den kommer ifrån, hur en trovärdig post-mortem är uppbyggd, vilka hack som format mallen och vad nya EU-regler nu kräver av aktörer som vänder sig till svenska sparare. Finansinspektionen vill nämligen också ha en rapport, fast på en helt annan blankett.
Vad en protokoll-post-mortem faktiskt är
Termen är lånad rakt av från medicinen och ingenjörskonsten, där en obduktion eller haverirapport reder ut varför något gick sönder. I kryptosammanhang är en post-mortem en publik redogörelse, oftast ett blogginlägg, en lång tråd på X eller ett dokument på GitHub, som ett team släpper efter en incident. Det kan handla om ett hack, en exploit i ett smart contract, en bro (bridge) som dränerats, en stablecoin som tappat sin peg eller ett orakel som matat fel pris. Mottagaren är sällan journalister i första hand, utan andra utvecklare.
Det avgörande är att en riktig post-mortem inte är marknadsföring. Den ska inte berätta hur motståndskraftigt protokollet är, utan tvärtom erkänna exakt var det brast. Tonen är teknisk, tidslinjen minutiös och slutsatserna obekväma. När genren fungerar som bäst läser den som en flyghaverirapport: kall, faktabaserad och skriven för att andra ska slippa krascha på samma sätt.
Kulturen kommer från servrar, inte börser
Idén att skriva en skuldfri (blameless) obduktion efter ett driftavbrott kommer inte från finansvärlden utan från mjukvarudriften. Googles bok om Site Reliability Engineering ägnar ett helt kapitel åt post-mortem-kultur, där grundregeln är att fokusera på system och processer i stället för att peka ut en syndabock. Tanken är enkel: om människor straffas för misstag slutar de rapportera dem, och då lär sig organisationen ingenting.
Kryptobranschen ärvde den hållningen och gav den en egen vridning. När The DAO tömdes på cirka 3,6 miljoner ETH sommaren 2016, värt runt 60 miljoner dollar då (i storleksordningen 630 miljoner kronor), tvingades Ethereum-gemenskapen att offentligt obducera ett fel i en så kallad reentrancy-funktion. Diskussionen som följde, och den hårda fork som delade kedjan i Ethereum och Ethereum Classic, blev startskottet för en kultur där koden, felet och åtgärden granskas i full offentlighet eftersom allt ändå ligger på en publik blockkedja.
Ett år senare kom en annan formativ incident. När en sårbarhet i Paritys multisignaturplånbok 2017 lät en användare av misstag låsa drygt 500 000 ETH för alltid, dokumenterades hela förloppet öppet i projektets felrapportering på GitHub, där en utvecklare nyktert konstaterade att kontraktet gått att förstöra. Den tekniska tråden blev i sig en sorts kollektiv post-mortem och visade att branschen obducerar även sådant som inte är en klassisk stöld utan ett rent konstruktionsfel.
Anatomin i en trovärdig post-mortem
Det finns ingen officiell mall, men efter hundratals incidenter har genren satt sig. En post-mortem som tas på allvar av andra utvecklare innehåller nästan alltid följande delar:
- En exakt tidslinje med tidsstämplar, gärna i UTC, från första misstänkta transaktionen till dess att blödningen stoppades.
- En teknisk grundorsak (root cause) som pekar ut den specifika kodrad, det antagande eller den nyckel som svek.
- Omfattningen i siffror: vilka pooler, vilka tokens och hur stort belopp som faktiskt försvann, ofta med länkar till transaktionerna on-chain.
- Den omedelbara responsen: pausades kontraktet, kontaktades angriparen, larmades börser för att frysa medel?
- Åtgärder framåt: revisioner, nya bug bounties, kodändringar och en plan för att ersätta drabbade användare.
- En ärlig bedömning av vad teamet missade, utan att skylla allt på otur.
Saknas tidslinjen eller grundorsaken läser communityn det som ett försök att mörka. En post-mortem utan siffror är, för att låna ett uttryck från revisorer, bara en pressrelease med dålig nyhet.
Hacken som format mallen
Vissa incidenter har blivit referenspunkter som hela branschen mäter sig mot. Sajten Rekt för en ständigt uppdaterad lista över de största förlusterna, och den listan fungerar i praktiken som genrens hall of fame, eller snarare hall of shame. Tabellen nedan visar ett urval som format hur en modern post-mortem ser ut. Beloppen är ungefärliga och omräknade till kronor med en växelkurs på cirka 10,5 kronor per dollar.
| Protokoll | År | Förlust (cirka) | Grundorsak | Utgång |
|---|---|---|---|---|
| The DAO | 2016 | 630 MSEK | Reentrancy i uttagsfunktion | Hard fork, kedjan delades |
| Poly Network | 2021 | 6,4 mdr SEK | Behörighetsfel mellan kedjor | Nästan allt återlämnat |
| Ronin Bridge | 2022 | 6,6 mdr SEK | Komprometterade validatornycklar | Användare ersattes via kapitalrunda |
| Wormhole | 2022 | 3,4 mdr SEK | Kringgången signaturkontroll | 120 000 ETH ersattes av investerare |
| Euler Finance | 2023 | 2,1 mdr SEK | Saknad hälsokontroll i donationsfunktion | I princip allt återlämnat |
| Curve Finance | 2023 | 735 MSEK | Bugg i Vyper-kompilatorn | Delvis återbetalt |
Mönstret är slående. I flera av de största fallen kom en stor del av pengarna tillbaka, antingen för att angriparen förhandlade fram en belöning eller för att investerare och team valde att täcka hålet. Just den möjligheten, att en förövare kan lämna tillbaka bytet mot ett löfte om mildare följder, är nästan unik för den här branschen. För communityn är den siffran, hur mycket som faktiskt kom tillbaka, nästan lika viktig som hur mycket som förlorades.
När gaming möter DeFi: Ronin och Axie Infinity
För en läsekrets som följer både krypto och spel är Ronin-hacket det tydligaste exemplet på hur de två världarna sitter ihop. Ronin är den sidokedja som byggdes för Axie Infinity, ett av de spel som drev fram hela play-to-earn-vågen. I mars 2022 kontrollerade angriparen fem av nio validatornycklar och kunde därmed godkänna falska uttag på cirka 625 miljoner dollar, motsvarande runt 6,6 miljarder kronor.
Det obekväma i Sky Mavis egen genomgång var att intrånget upptäcktes först efter nästan en vecka, när en användare inte kunde ta ut sina pengar. Angriparen hade kommit åt nycklarna via riktad social ingenjörskonst mot teamet, alltså inte ett rent kodfel utan ett mänskligt. Amerikanska myndigheter och analysföretag som Chainalysis knöt senare dådet till den nordkoreanska Lazarus-gruppen, något även Reuters rapporterade. Sky Mavis ersatte drabbade spelare genom en kapitalrunda, och post-mortemen blev en lärobok i varför antalet validatorer och spridningen av nycklar spelar roll. För spelvärlden blev det en väckarklocka: när speltillgångar och riktiga pengar möts på en sidokedja räcker det inte att spelet är roligt, infrastrukturen måste tåla samma sorts attack som en bank.
Den vita hatten och förhandlingsbordet
Ett av genrens märkligaste inslag är att obduktionen ofta skrivs medan förhandlingen med tjuven fortfarande pågår, och att den förhandlingen sker öppet på kedjan. Team skickar meddelanden till angriparens adress via transaktioners datafält, erbjuder en så kallad white hat-belöning och ber om resten tillbaka. En white hat är en hackare som agerar i god tro, och gränsen mellan brottsling och belönad säkerhetsforskare kan i efterhand bli förvånansvärt suddig.
Poly Network-fallet 2021 är det tydligaste exemplet. Angriparen, som teamet artigt började kalla Mr White Hat, lämnade till slut tillbaka i stort sett hela summan på över 600 miljoner dollar och erbjöds till och med ett jobb som säkerhetsrådgivare. Vid Euler Finance-hacket 2023 fördes en liknande dialog direkt on-chain, och i princip alla 197 miljoner dollar (omkring 2,1 miljarder kronor) återbördades efter några spända veckor. Mango Markets blev däremot ett varnande exempel: där använde förövaren protokollets eget styrningssystem för att rösta igenom att han fick behålla en del av bytet, vilket senare prövades som marknadsmanipulation i amerikansk domstol. Sådana gränsfall diskuteras numera lika ivrigt på styrningsforum som Curves governance-forum som de tekniska detaljerna.
Vad svenska och europeiska regler säger nu
Länge var post-mortem en helt frivillig kulturyttring. Det håller på att ändras. I och med EU:s förordning om marknader för kryptotillgångar, MiCA, ställs krav på att leverantörer av kryptotjänster (CASP:er) hanterar och rapporterar allvarliga incidenter. Parallellt gäller DORA, förordningen om digital operativ motståndskraft, som tvingar finansiella aktörer att rapportera allvarliga IT-incidenter till sin tillsynsmyndighet inom snäva tidsramar.
För en aktör som riktar sig mot svenska kunder är det Finansinspektionen som är mottagare. Den som vill erbjuda kryptotjänster i Sverige ska vara auktoriserad, och Finansinspektionen krävde att redan verksamma aktörer skulle ha sökt tillstånd senast den 1 oktober 2025. Tillsynen samordnas på EU-nivå av ESMA. Skillnaden mot en publik post-mortem är stor: den regulatoriska incidentrapporten är konfidentiell, går till myndigheten och inte till allmänheten, och fyller en annan funktion än det blogginlägg communityn läser. Framöver lär många protokoll behöva skriva båda, en intern för tillsynsmyndigheten och en publik för marknadens förtroende. Den frivilliga obduktionen försvinner alltså inte, den blir ett komplement; den juridiska rapporten skyddar systemet, den publika skyddar ryktet, och kloka team inser att de behöver båda.
Så läser du en post-mortem kritiskt
För en vanlig sparare eller spelare är post-mortems en oväntat bra källa till hur säkert ett projekt egentligen är. Marknadsdata som priser och volymer hittar du på sajter som CoinGecko, men det är i obduktionerna du ser hur ett team beter sig när det går åt skogen. Några saker att hålla utkik efter:
- Hur snabbt kom rapporten? Timmar tyder på beredskap, veckors tystnad på panik eller mörkläggning.
- Finns en konkret grundorsak, eller gömmer sig teamet bakom vaga formuleringar som sofistikerad attack?
- Erkänns mänskliga misstag, eller skylls allt på otur och okända angripare?
- Följs orden av handling: ny revision, höjd bug bounty, publicerade kodändringar?
- Ersätts användarna, och i så fall med vems pengar?
Ett klassiskt varningstecken är frånvaron av en post-mortem över huvud taget. När Multichain kollapsade 2023 uteblev den trovärdiga förklaringen helt, och tystnaden sade i praktiken allt som behövde sägas om hur medlen hade hanterats. Listan ovan är inte vattentät, men den skiljer ofta förvånansvärt väl mellan team som tar ansvar och team som hoppas att uppmärksamheten ska blåsa över.
Vad genren säger om kryptokulturen
Att en bransch byggd på misstro mot mellanhänder har utvecklat sin egen tradition av offentlig självkritik är ingen slump. När det inte finns någon insättningsgaranti och ingen statlig räddningsaktion blir transparensen i sig en form av förtroende. En väl skriven post-mortem säger till marknaden: vi förlorade pengar, men vi förstår varför, och vi tänker inte dölja det.
Den mognaden har ett pris. Samma öppenhet som lär utvecklare att undvika gårdagens misstag ger också nästa angripare en gratis lärobok. Ändå håller normen i sig, kanske för att alternativet, en tyst bransch där varje team döljer sina sår, vore långt farligare för de sparare och spelare som faktiskt ska lita på koden. Obduktionen har blivit kryptovärldens sätt att begrava sina döda i fullt dagsljus, och sedan bygga något bättre på graven.
HOGE Wire redaktion, kultur. Publicerad 2026-06-29.