Så skrivs en post-mortem: anatomin efter ett kryptohack
En post-mortem förklarar vad som gick fel efter ett kryptohack, steg för steg. Här är anatomin bakom rapporten, med exempel från Bybit, Cetus och KelpDAO.
Vad är en protokoll-post-mortem?
Den 22 maj 2025 tog det angriparen bakom Sui-protokollet Cetus mindre än 15 minuter att dra ut motsvarande 223 miljoner dollar, drygt 2,1 miljarder kronor, ur en likviditetspool. Det tog Cetus-teamet närmare tre veckor att publicera en fullständig teknisk redogörelse för exakt vad som hänt. Den tidsskillnaden, mellan katastrofens hastighet och förklaringens långsamhet, ligger i hjärtat av en genre som vuxit fram parallellt med kryptobranschens säkerhetsproblem: protokollets post-mortem.
En protokoll-post-mortem är den skriftliga redogörelse ett kryptoprojekt publicerar efter en säkerhetsincident: vad som hände, varför det kunde hända, hur mycket som försvann och vad teamet tänker göra åt det. Begreppet är hämtat rakt av från medicinens obduktionsrapport och från mjukvarubranschens incidentuppföljning, den typ av interna granskningar säkerhetsteam på företag som Google har skrivit i årtionden för att undvika att samma misstag upprepas.
Skillnaden i krypto är att nästan allt redan är offentligt. En bank som utsätts för ett dataintrång kan hålla utredningen intern i månader. Ett DeFi-protokoll vars smarta kontrakt töms på några minuter granskas istället i realtid av tusentals användare som ser transaktionerna passera på en blockkedjeutforskare långt innan teamet hunnit formulera ett officiellt uttalande. Post-mortemen blir därför inte bara en teknisk rapport, utan protokollets enda egentliga chans att återta kontrollen över sin egen berättelse.
Vi har tidigare skrivit om den bredare kulturen kring detta i Post-mortem-kulturen: kryptobranschens offentliga obduktioner. Den här artikeln går istället in på hur en enskild rapport faktiskt är uppbyggd, vad som skiljer en trovärdig post-mortem från ett PR-utspel, och varför så många protokoll väljer att publicera frivilligt trots att ingen lag tvingar dem.
Från DAO till Trillion Dollar Security: arvet från 2016
Genren har rötter i en enda händelse: kraschen för The DAO i juni 2016, då en angripare drog ut motsvarande vad som då var runt 50 miljoner dollar ur vad som var den största crowdfundingen i kryptohistorien vid det tillfället, och tvingade fram en hård fork som delade kedjan i Ethereum och Ethereum Classic. Det fanns ingen etablerad mall för hur ett decentraliserat projekt skulle förklara sig efter en katastrof av den storleken. Ethereum-communityt fick i praktiken uppfinna formatet under galgen, mitt i en av branschens mest existentiella kriser.
Tio år senare, i januari 2026, fick historien en oväntad avslutning. Cirka 75 000 ether som aldrig gjorde anspråk på efter 2016 års återhämtning, vilande dels i ett så kallat ExtraBalance-kontrakt (omkring 70 500 ETH), dels i en kuratormultisig (ytterligare 4 600 ETH), omvandlades till TheDAO Security Fund. Fonden värderades till omkring 220 miljoner dollar, nära 2,1 miljarder kronor, vid lanseringen, men hade fallit till närmare 130 miljoner dollar redan i juni samma år i takt med att ether-priset sjönk mot cirka 1 750 dollar, enligt The Blocks genomgång. Sju kuratorer, däribland Ethereum-grundaren Vitalik Buterin och den tidigare MetaMask-säkerhetschefen Taylor Monahan, förvaltar fonden, som stakar sitt kapital för att generera omkring 8 miljoner dollar om året i avkastning, öronmärkt för säkerhetsforskning och snabbinsatsteam, i samordning med Ethereum-stiftelsens Trillion Dollar Security-initiativ.
Cirkeln är talande: branschens första riktigt stora hack finansierar nu, ett decennium senare, en del av den infrastruktur som ska förhindra nästa. Ethereum Classic, kedjan som aldrig vände tillbaka från den ursprungliga stölden, existerar för övrigt fortfarande som en ständig påminnelse om att beslutet 2016 aldrig var enhälligt, och att frågan om ett nätverk bör gå in och ångra en stöld fortfarande delar branschen, senast i debatten om Suis validerarfrysning av Cetus-medlen (mer om det nedan).
Anatomin: de sju byggstenarna i en trovärdig rapport
Varje incident är unik, men de mest trovärdiga rapporterna, de som fortfarande håller när utomstående säkerhetsforskare granskar dem månader senare, delar en gemensam struktur. Efter att ha jämfört dussintals rapporter från det senaste decenniet går det att destillera fram sju återkommande byggstenar.
| Byggsten | Vad den ska svara på | Exempel från verkligheten |
|---|---|---|
| Tidslinje | Exakt när första transaktionen skedde, när teamet upptäckte den, och när kontrakt pausades eller validerare stoppade trafiken | Ronin-bryggan upptäcktes inte förrän sex dagar efter första uttaget |
| Grundorsak | Vilken kodrad, vilken nyckel eller vilken människa som fallerade, och varför befintliga skydd inte fångade det | En enda felaktig overflow-kontroll i ett delat matematikbibliotek hos Cetus |
| Fondflöde | Vilka adresser, broar och mixrar medlen passerade, ofta illustrerat med on-chain-grafer | Sygnias och Verichains spårning av Bybit-medlen till Lazarus-kontrollerade plånböcker |
| Påverkan | Hur många användare, pooler eller kedjor som drabbades, och den totala ekonomiska skadan | KelpDAOs wrapped ether som fastnade utspritt över 20 kedjor |
| Krisrespons | Vilka nödåtgärder som vidtogs medan blödningen pågick: pausade kontrakt, frysta adresser, förhandlingar | Suis validerare som blockerade angriparens adresser i realtid |
| Ersättning | Hur och när drabbade användare får tillbaka värde, samt varifrån kapitalet kommer | Sky Mavis lån på 150 miljoner dollar från Binance för att återbetala Ronin-användare |
| Förebyggande åtgärder | Konkreta, verifierbara förändringar: nya revisioner, höjda multisig-trösklar, krav på fler verifierare | LayerZeros krav på flera oberoende verifierare efter Kelp-incidenten |
De sju delarna behöver inte komma i just den ordningen, men en rapport som saknar flera av dem, som exempelvis inte nämner ersättning alls eller som beskriver grundorsaken i vaga formuleringar som “en sårbarhet upptäcktes”, bör läsas med en hälsosam skepsis. Det säger ofta mer om hur mycket teamet faktiskt vet, eller hur mycket de är villiga att dela, än om själva incidenten.
Tidslinjen som avslöjar allt: minuter, timmar, dagar
Om det finns en enskild variabel som avgör hur allvarligt en incident betraktas i efterhand är det tiden mellan attack och upptäckt, inte bara beloppet som stals. Ronin-bryggan, byggd av Sky Mavis för spelet Axie Infinity, förlorade i mars 2022 motsvarande 625 miljoner dollar, drygt 6 miljarder kronor, i ether och USDC efter att fem av nio validernoder komprometterats: fyra kontrollerade direkt av Sky Mavis och en femte via en åtkomst som Axie DAO glömt återkalla efter ett tillfälligt samarbete månaderna innan. Det som gjorde incidenten extra allvarlig var att den inte upptäcktes förrän sex dagar senare, när en användare rapporterade att hen inte kunde ta ut 5 000 ether, enligt Sky Mavis egen postmortem. Sex dagar är en evighet i on-chain-termer: angriparen fick gott om tid att flytta medel innan någon ens visste att något var fel.
Jämför det med Drift Protocol, vars angripare planerade i sex månader men genomförde själva tömningen på ungefär tolv minuter i april 2026 (mer om den incidenten nedan). Två helt olika tidslinjer, men båda visar samma sak: post-mortemens tidslinjeavsnitt är ingen formalitet. Det är beviset på om organisationen hade fungerande övervakning över huvud taget, och hur länge angriparen i praktiken fick operera ostört.
Grundorsaken: kod, nycklar eller människor?
Säkerhetsanalytiker delar vanligen in grundorsaker i tre breda kategorier, och fördelningen mellan dem har skiftat påtagligt på senare år. Enligt TRM Labs halvårsrapport för 2026 inträffade 207 separata incidenter under årets första sex månader, en rekordnivå i antal, men den sammanlagda förlusten landade på 972 miljoner dollar, motsvarande ungefär 9,4 miljarder kronor: mindre än hälften av de 2,3 miljarder dollar som stals under samma period 2025.
Det intressanta är fördelningen mellan incidenter och belopp. Rena buggar i smarta kontrakt, den typ av fel Cetus föll offer för, stod för 125 av de 207 incidenterna, ungefär sex av tio, men bara för en liten andel av det totala dollarvärdet. Infrastruktur- och driftskompromisser, i praktiken stulna privata nycklar och seed-fraser, utgjorde bara omkring 15 procent av incidenterna men hela 76 procent av de stulna värdena. Medianförlusten per hack låg på 219 000 dollar, medan medelvärdet drogs upp till 4,7 miljoner dollar av ett fåtal katastrofalt stora incidenter, vilket visar hur skevt fördelad risken faktiskt är.
Nordkoreanska aktörer, som TRM Labs knyter till ungefär 643 miljoner dollar eller 66 procent av det totala värdet som stals under halvåret, dominerar just den infrastrukturtunga kategorin. Två incidenter i april, mot Drift Protocol och KelpDAO, stod tillsammans för 577 av de 643 miljonerna.
En tredje kategori, som ofta glöms bort i rubrikerna, är ren social ingenjörskonst riktad mot människorna bakom protokollet snarare än mot koden: falska rekryterare, förfalskade identiteter och månader av förtroendeskapande innan en enda transaktion signeras. Drift Protocol-incidenten är det tydligaste exemplet från 2026, och just därför måste en post-mortem beskriva vilken av de tre kategorierna som orsakade incidenten, eftersom åtgärderna som krävs skiljer sig helt åt: en kodrevision hjälper inte mot ett lurat styrelseråd.
Fördelningen har praktiska konsekvenser för hur protokoll bör investera sina säkerhetsbudgetar. Ett team som lägger hela budgeten på ännu en kodrevision, samtidigt som administratörsnycklar ligger kvar i en vanlig molntjänst utan hårdvarubaserat skydd, skyddar sig mot den statistiskt mindre vanliga men mer uppmärksammade risken. Den faktiska, sannolikhetsviktade förlusten ligger istället ofta i den kategori som får minst uppmärksamhet i marknadsföringen: nyckelhantering, personalens motståndskraft mot social manipulation och interna behörighetsprocesser.
Att följa pengarna: on-chain-detektiverna
En stor del av det tunga tekniska arbetet i en modern post-mortem görs inte av protokollteamet självt, utan av fristående utredningsfirmor som Chainalysis, Elliptic, TRM Labs, CertiK, BlockSec, Sygnia och Verichains. Dessa företag klustrar adresser, spårar medel genom broar och mixrar, och i allt högre grad även genom ordrar på centraliserade börser där angripare försöker växla ut sitt byte till kontanter.
Bybit-hacket i februari 2025, där motsvarande 1,4 till 1,5 miljarder dollar i ether försvann från en av börsens kalla plånböcker (oftast angivet till runt 1,5 miljarder dollar, cirka 14,5 miljarder kronor), är ett skolboksexempel på hur det samarbetet ser ut i praktiken. Både Sygnias utredning och en separat rapport från Verichains pekade på exakt samma grundorsak: JavaScript-resurser i den AWS S3-hink som levererade gränssnittet för plånboksleverantören Safe hade manipulerats redan två dagar före den skadliga transaktionen. Koden var utformad för att bara aktiveras när den kände igen Bybits kontraktsadress, och maskerade sedan gränssnittet så att undertecknarna trodde de godkände en helt annan transaktion än den som faktiskt skickades. Signeringsenheterna gjorde med andra ord precis vad de skulle. Det var skärmen som ljög för dem.
Den typen av attack, där hårdvaran är intakt men displayen är manipulerad, är precis anledningen till att vi har granskat kalla plånböcker på djupet separat: en fysisk enhet skyddar mot stöld av privata nycklar, men inte mot att man luras att signera fel transaktion med rätt nyckel.
Bybits medgrundare Ben Zhou valde att möta krisen med öppenhet snarare än tystnad. Inom 30 minuter efter att intrånget upptäckts höll han en livesänd frågestund för att svara på användarnas frågor, och har sedan dess konsekvent framhållit transparens som börsens viktigaste skydd under de kaotiska timmar som följde, enligt CCN:s genomgång av händelseförloppet. Bybit hann genomföra fem interna och fyra externa säkerhetsgranskningar redan i mitten av april samma år.
När post-mortem blir en tvist: KelpDAO mot LayerZero
Den vanligaste missuppfattningen om post-mortems är att de är objektiva. I verkligheten skrivs de av parter med starka incitament att placera skulden någon annanstans, vilket dispyten mellan KelpDAO och bryggprotokollet LayerZero under april och maj 2026 visade med önskvärd tydlighet.
Den 18 april 2026 förlorade KelpDAOs rsETH-brygga motsvarande 292 miljoner dollar, nästan 2,82 miljarder kronor, i wrapped ether utspritt över 20 olika kedjor. Angriparna, som misstänks ha kopplingar till Nordkorea, hade redan den 6 mars fått en LayerZero-utvecklare att av misstag lämna ifrån sig sessionsnycklar genom social manipulation, och använde sedan den tillgången för att mata falska verifieringssignaler till en så kallad DVN-konfiguration (Decentralized Verifier Network) som bara krävde en enda verifierare för att godkänna en överföring.
LayerZeros första offentliga redogörelse lade skulden i praktiken helt på KelpDAO, och beskrev 1-av-1-konfigurationen som ett val Kelp gjort mot företagets uttryckliga rekommendationer. Kelp DAO gick i sin tur ut och bestred den beskrivningen rakt av, och hävdade att den sårbara konfigurationen faktiskt var LayerZeros egen standardinställning, inte en avvikelse Kelp valt på egen hand.
Tre veckor senare svängde LayerZero. I ett uppdaterat inlägg medgav företaget att den ursprungliga post-mortemen hade missat kärnan i kritiken: “Vi tycker att utvecklare ska välja sina egna säkerhetskonfigurationer, men vi gjorde ett misstag genom att låta vår DVN agera som en 1-av-1-verifierare för transaktioner av det här värdet. Vi granskade inte vad vår DVN faktiskt säkrade, vilket skapade en risk vi helt enkelt inte såg”, skrev företaget i sitt uppdaterade incidentutlåtande.
Episoden är en bra påminnelse om att en post-mortems första version sällan är dess sista, och att läsare gör klokt i att kontrollera om ett dokument har reviderats innan de drar slutsatser om ansvarsfrågan. Kaskadeffekterna var dessutom brutala: obackade tokens flödade in i utlåningspooler på flera protokoll, dålig skuld spred sig vidare, och över 13 miljarder dollar i totalt låst värde försvann ur ekosystemet på under 48 timmar.
Tålamodets vapen: Drift Protocol och sex månaders infiltration
Om KelpDAO-incidenten handlade om en teknisk standardinställning, handlade attacken mot det Solana-baserade derivatprotokollet Drift om ren mänsklig infiltration, utsträckt över ett halvår.
Enligt Drift Protocols egen post-mortem inledde en grupp som utgav sig för att vara ett kvantitativt handelsföretag kontakt med teammedlemmar redan hösten 2025, vid en stor branschkonferens. Under de följande sex månaderna träffade individer ur gruppen Drift-medarbetare personligen vid flera event i olika länder, och byggde sakta upp förtroende, enligt Chainalysis genomgång av händelsen.
Den 1 april 2026, på självaste första april, något branschmedia snabbt noterade ironin i, utnyttjade angriparna Solanas funktion för så kallade durable nonces för att få medlemmar av Drifts säkerhetsråd att, utan att förstå det, förhandssignera transaktioner som till slut gav angriparna administrativ kontroll över protokollet. Väl inne vitlistade de en värdelös, konstgjort prissatt token (CVT) som säkerhet, satte in 500 miljoner av den, och använde den konstruerade säkerheten för att ta ut riktiga tillgångar som USDC, SOL och ETH till ett värde av 285 miljoner dollar, ungefär 2,75 miljarder kronor. Själva uttömningen tog omkring tolv minuter.
Fallet illustrerar varför en post-mortem som bara beskriver den tekniska mekaniken, “en förfalskad token vitlistades”, missar poängen. Den egentliga sårbarheten var organisatorisk: ett säkerhetsråd som kunde luras att signera bort kontrollen efter månader av noggrant uppbyggt förtroende. Ingen kodrevision i världen fångar den typen av risk. Det krävs governance-processer som antar att varje enskild underskrift kan vara komprometterad, oavsett hur betrodd undertecknaren verkar vara.
Att frysa pengarna: Cetus och validatorernas dilemma
Den 22 maj 2025 exploaterade en angripare en felaktig overflow-kontroll i checked_shlw, en funktion i ett delat matematikbibliotek (integer-mate) som Sui-baserade Cetus Protocol använde för sina likviditetsberäkningar. Genom att ta ett flashlån och öppna en position med ett extremt smalt tick-intervall fick angriparen protokollet att registrera en position värd en astronomisk mängd likviditet, trots att den faktiska insatsen i praktiken motsvarade en enda enhet. Resultatet: motsvarande 223 miljoner dollar dränerades på under 15 minuter.
Det som gör Cetus-fallet extra intressant ur ett post-mortem-perspektiv är inte bara buggen, utan vad som hände efteråt. Omkring 60 miljoner dollar hann bryggas ut till Ethereum innan någon reagerade, men resterande 162 miljoner dollar satt fortfarande kvar på Sui. Istället för att förlita sig på förhandlingar koordinerade Suis validerare ett nödingripande och blockerade angriparens adresser direkt i konsensuslagret, vilket i praktiken frös medlen innan de kunde flyttas vidare, enligt CoinDesks rapportering.
Det löste den akuta krisen men öppnade en debatt som fortfarande pågår i DeFi-kretsar: om validerare kan enas om att blockera specifika adresser när det gynnar offren, vad hindrar dem i teorin från att göra det av andra skäl längre fram? Cetus bidrog själva med hela sin kassareserv på 7 miljoner dollar och tog ett lån på 30 miljoner dollar i USDC från Sui-stiftelsen för att fylla igen hålen i de drabbade likviditetspoolerna, och kunde återuppta driften efter 17 dagars avstängning.
Post-mortemen för Cetus är därför i praktiken två dokument i ett: en teknisk redogörelse för en overflow-bugg av det slag säkerhetsgranskare letar efter varje dag, och en oavsiktlig fallstudie i hur mycket makt en “decentraliserad” kedja faktiskt kan mobilisera när tillräckligt mycket står på spel. Det är i grunden samma fråga som splittrade Ethereum-communityt 2016, bara i en snabbare och mer koncentrerad form: ska ett nätverks regler vara absoluta, eller ska de kunna böjas när tillräckligt många validerare är överens om att en stöld måste rättas till?
Förhandlingsbordet: när protokollet pratar med hackaren
Ibland är den mest effektiva delen av en post-mortem inte en teknisk beskrivning utan en förhandlingshistoria. Den 13 mars 2023 utnyttjade en angripare en enda felaktig kodrad, skriven, granskad och driftsatt redan i juli 2022 för att fixa en helt annan, mindre allvarlig bugg, för att dra ut motsvarande 197 miljoner dollar, nära 1,9 miljarder kronor, ur långivningsprotokollet Euler Finance.
Istället för att bara jaga angriparen juridiskt valde Euler-teamet, tillsammans med en grupp säkerhetsexperter från branschen, en annan väg: direkt kontakt. Den 15 mars gav Euler angriparen ett ultimatum: lämna tillbaka 90 procent av medlen, annars offentliggörs en belöning på en miljon dollar för information som kan leda till ett gripande. Vad som följde var veckor av meddelanden fram och tillbaka, där angriparen enligt uppgift bad om ursäkt för skadan han orsakat, innan han till slut, den 3 april, hade återlämnat “alla återvinningsbara medel”, enligt CoinDesks rapportering.
Ironin i historien är att Euler faktiskt kom ut med mer kapital än vad som ursprungligen stals. Eftersom angriparen hade konverterat en stor del av bytet till ether, som steg i pris under de veckor förhandlingen pågick, kunde protokollet till slut återvinna omkring 240 miljoner dollar: mer än de 197 miljoner som försvann. Efterspelet tog enligt teamet omkring tre månader att reda ut internt, med personalneddragningar och omorganisering, innan arbetet med efterträdaren Euler v2 påbörjades på allvar.
Förhandlingsgenren fungerar bäst när angriparen sitter på pseudonyma men spårbara medel utan något realistiskt sätt att växla ut dem utan att bli identifierad. Det är en helt annan situation än till exempel Bybit eller Ronin, där statsanknutna aktörer med etablerade tvättningskanaler i praktiken aldrig förhandlar.
SEAL Whitehat Safe Harbor: post-mortem som förebyggande kontrakt
Om post-mortemen är berättelsen efteråt, är Security Alliances (SEAL) Whitehat Safe Harbor-avtal ett försök att skriva en del av berättelsen i förväg. Initiativet, som leds av Robert MacWha och Dickson Wu, föddes ur frustrationen efter Nomad-hacket 2022, då mer än 190 miljoner dollar, nära 1,83 miljarder kronor, dränerades under loppet av några timmar medan white hat-hackare som var villiga att hjälpa till stod handfallna: de riskerade eget rättsligt ansvar för att “hacka” ett protokoll även i räddande syfte, enligt SEALs egen beskrivning av ramverket.
Mekaniken är enkel. Ett protokoll som antar avtalet definierar i förväg vilka kontrakt som omfattas, vilken adress räddade medel ska skickas till, och vilka belöningsvillkor som gäller. Standardvillkoren kräver att räddade medel återlämnas inom 72 timmar, med en belöning på 10 procent av det återvunna beloppet, som mest en miljon dollar, drygt 9,6 miljoner kronor. I gengäld får den som ingriper ett tydligt juridiskt skydd mot att själva bli åtalade för räddningsinsatsen.
Vid det här laget har avtalet fått ett rejält fotfäste. 29 protokoll, däribland Uniswap, Aave, Pendle, PancakeSwap, Balancer, Silo Finance och Zksync, har antagit ramverket, med tillgångar värda över 20 miljarder dollar, nära 193 miljarder kronor, skyddade över fler än tio olika kedjor. Sammantaget uppger organisationen att white hat-interventioner kopplade till avtalet har räddat användarmedel värda över 25 miljarder dollar sedan starten. Flera av de största DeFi-protokollen har med andra ord kommit fram till samma slutsats som de flesta post-mortem-skribenter: det är billigare att skriva ner spelreglerna innan krisen än att improvisera dem medan pengarna rinner ut.
Safe Harbor löser förstås inte grundorsaken till en attack, men det tar bort en verklig broms: juristen som annars viskar i örat på en kompetent säkerhetsforskare att inte röra ett komprometterat kontrakt, även när hen vet exakt hur man stoppar blödningen.
Varför protokoll publicerar frivilligt, och vad Finansinspektionen faktiskt täcker
Det är värt att vara tydlig med en sak: inget decentraliserat protokoll är juridiskt tvunget att publicera en post-mortem. MiCA-förordningen, EU:s regelverk för kryptotillgångar som blev fullt tillämpligt för samtliga aktörer i unionen den 1 juli 2026, reglerar utgivare av kryptotillgångar och så kallade CASP-företag (Crypto-Asset Service Providers), i praktiken börser, förvarare och andra centraliserade mellanhänder. Ett protokoll utan utgivande bolag, utan förvar av kundmedel och utan en tydlig juridisk person bakom sig faller i stor utsträckning utanför det tillsynsansvar som Finansinspektionen fått som svensk behörig myndighet under MiCA. Jämfört med en svensk bank, som enligt lag måste rapportera allvarliga incidenter till Finansinspektionen inom snäva tidsramar, lever alltså ett DeFi-protokoll i ett regulatoriskt vakuum där offentliggörande är ett val snarare än en skyldighet.
Det förklarar varför centraliserade börser som är licensierade CASP-bolag, till exempel de som jämförs i vår genomgång av Coinbase, Binance, Kraken och OKX, har en helt annan formell rapporteringsplikt gentemot tillsynsmyndigheter än ett DeFi-protokoll som Cetus eller Drift har. En börs som förvarar svenska kunders tillgångar kan tvingas rapportera en incident till FI som en del av sitt tillstånd. Ett protokoll utan den strukturen kan i teorin välja att inte säga ett ord, och några har gjort precis det.
Så varför publicerar de flesta ändå? Av rent egenintresse. Ett protokolls token, dess totala låsta värde och dess community-förtroende är i praktiken dess enda kapital. En trovärdig, snabb och detaljerad post-mortem, av det slag Sky Mavis och Cetus båda till slut levererade, signalerar till användare och investerare att teamet förstår vad som gick fel och kan förhindra att det upprepas. Tystnad, eller en rapport full av luckor, tolkas nästan alltid som det sämsta tänkbara alternativet: antingen inkompetens eller mörkläggning. I avsaknad av lagstadgad tillsyn har rykte i praktiken blivit den huvudsakliga regleringsmekanismen för DeFi, och post-mortemen är dess viktigaste dokument.
Ett decennium i siffror: så läser du en rapport kritiskt
Sätter man samman de största incidenterna från det senaste decenniet i en tabell blir mönstret tydligt: beloppen växer, men så gör också verktygen och rutinerna för att hantera dem.
| Incident | År | Belopp (uppskattat) | Grundorsak | Utfall |
|---|---|---|---|---|
| The DAO | 2016 | ~50 miljoner dollar (vid tidpunkten) | Reentrancy-bugg i smart kontrakt | Hård fork, kedjan delades i Ethereum och Ethereum Classic |
| Ronin-bryggan | 2022 | ~625 miljoner dollar | Komprometterade validernycklar | Användare fullt återbetalda, validernätverket byggdes ut |
| Euler Finance | 2023 | ~197 miljoner dollar | Bugg i en enda kodrad | Förhandling, omkring 240 miljoner dollar återvunnet |
| Bybit | 2025 | ~1,5 miljarder dollar | Manipulerat Safe-gränssnitt via komprometterad S3-hink | Fullt täckt av Bybits egna reserver |
| Cetus | 2025 | ~223 miljoner dollar | Overflow-bugg i delat matematikbibliotek | Validerarfrysning, 162 miljoner dollar räddat |
| Drift Protocol | 2026 | ~285 miljoner dollar | Social ingenjörskonst mot säkerhetsråd | Utredning och governance-översyn pågår |
| KelpDAO | 2026 | ~292 miljoner dollar | Enskild DVN-verifierare i LayerZero-brygga | Öppen ansvarstvist, reviderad post-mortem |
Det är också värt att behålla skepsisen även när statistiken ser uppmuntrande ut på ytan. Säkerhetsfirman CertiK varnade, efter att ha sammanställt sina egna siffror för första halvåret 2026 som visade en nedgång på 47 procent i stulna belopp jämfört med samma period 2025, för att dra för snabba slutsatser: “En rubrik om att förlusterna minskat med nästan 50 procent skulle antyda ett betydligt säkrare ekosystem. Det stöder inte datan”, konstaterade företaget, och pekade på att nedgången till stor del berodde på att just Bybit-hacket, branschens dittills största enskilda incident, ingick i föregående års jämförelsesiffror, enligt Cointelegraphs rapportering. Räknar man bort just den engångshändelsen var attackerna under 2026 tvärtom mer riktade och mer ekonomiskt förödande per tillfälle, inte mindre.
Med de exemplen i bakhuvudet går det att sätta ihop en enkel checklista för den som vill bedöma om en post-mortem faktiskt håller vad den lovar, snarare än att bara vara ett välskrivet PR-utspel:
- Finns en minut-för-minut- eller block-för-block-tidslinje, eller bara vaga formuleringar som “vi upptäckte problemet tidigt”?
- Namnger rapporten den exakta tekniska grundorsaken (kodrad, funktion, konfigurationsval), eller stannar den vid “en sårbarhet utnyttjades”?
- Beskrivs fondflödet med adresser och transaktions-id som går att verifiera på en blockkedjeutforskare?
- Finns en konkret ersättningsplan med tidsplan, eller bara ett löfte om att “utreda möjligheterna”?
- Listas specifika, verifierbara åtgärder, till exempel krav på flera verifierare eller en högre multisig-tröskel, eller bara allmänna formuleringar om att “säkerheten skärps”?
- Har rapporten reviderats efter kritik, och i så fall, framgår det tydligt vad som ändrats och varför?
Läs gärna vidare i Protokoll-post-mortem: konsten att obducera ett kryptohack för fler exempel på hur enskilda rapporter har hållit, eller inte hållit, måttet över tid.
Vanliga frågor om protokoll-post-mortems
Vad är en post-mortem inom krypto?
En protokoll-post-mortem är den officiella rapport ett kryptoprojekt publicerar efter en hack eller en säkerhetsincident, med en tidslinje, grundorsaken, fondflödet och en plan för ersättning och förebyggande åtgärder. Formatet är lånat från mjukvarubranschens incidentuppföljning men anpassat till att nästan allt redan syns on-chain.
Måste kryptoprotokoll publicera en post-mortem efter en hack?
Nej. Varken MiCA-förordningen eller Finansinspektionens tillsyn kräver att decentraliserade protokoll utan en identifierbar juridisk person publicerar något alls efter en incident. Skyldigheten att rapportera gäller i praktiken licensierade CASP-bolag som börser och förvarare, inte smarta kontrakt utan en ansvarig utgivare.
Hur snabbt bör ett protokoll publicera en post-mortem efter en hack?
Det finns ingen bindande branschstandard, men de mest respekterade rapporterna, som Sky Mavis redogörelse för Ronin-bryggan, kombinerar snabba preliminära uttalanden inom timmar med en fullständig teknisk rapport inom några veckor. Rapporter som dröjer månader utan förklaring tolkas ofta som ett tecken på interna problem.
Vad är SEAL Whitehat Safe Harbor?
Det är ett frivilligt avtal från Security Alliance som låter protokoll i förväg godkänna att white hat-hackare ingriper under en pågående attack för att rädda medel, mot ett tydligt juridiskt skydd och en belöning på 10 procent av det återvunna beloppet, som mest en miljon dollar. Fler än 29 protokoll med tillgångar värda över 20 miljarder dollar hade antagit avtalet under 2026.
Kan man lita på att en post-mortem berättar hela sanningen?
Inte alltid, och inte alltid direkt. Tvisten mellan KelpDAO och LayerZero under 2026 visade att en första version av en post-mortem kan lägga skulden ensidigt, för att sedan revideras veckor senare när kritiken visar sig hålla. Läsare bör leta efter konkreta, verifierbara detaljer snarare än allmänna formuleringar, och kontrollera om ett dokument senare har uppdaterats.
Skrivet av HOGE Wires redaktion för kultur och säkerhet.