Protokollpostmortem: så obduceras kryptohaverier
När ett kryptoprotokoll töms på miljarder följer en ritual: postmortemen. Vi förklarar genren som blivit kryptokulturens obduktionsrapport, från The DAO till Euler och Ronin.
Varje gång ett kryptoprotokoll töms på pengar, ibland på bara några sekunder, inleds en välbekant ritual. Teamet tystnar i några timmar, trådarna på X svämmar över av amatördetektiver, och till slut publiceras dokumentet som hela branschen väntar på: postmortemen. Det är kryptovärldens obduktionsrapport, en blandning av teknisk självrannsakan, krishantering och, allt oftare, ren litteratur. Den här texten förklarar genren: varifrån den kommer, hur den är uppbyggd och vad den säger om en kultur som gärna reser sina monument av ruiner.
Vad är en postmortem, egentligen?
Begreppet är lånat från ingenjörskulturen kring driftsäkerhet, där en postmortem är den skriftliga genomgång som följer på ett allvarligt avbrott. Idealet, som spreds via Googles arbete med Site Reliability Engineering, är att rapporten ska vara blameless: den jagar systemfel, inte syndabockar. I kryptovärlden har genren fått en egen, hårdare karaktär. Här handlar avbrottet sällan om en nedsläckt server utan om pengar som redan har lämnat valven, ofta för gott, och allt ligger synligt på kedjan för den som vet var hen ska titta.
Det är den offentliga blockkedjan som gör krypto-postmortemen unik. När en bank drabbas av bedrägeri sker utredningen bakom stängda dörrar. När ett DeFi-protokoll dräneras kan vem som helst följa transaktionerna i realtid, räkna ut förlusten på kronan och jämföra teamets förklaring med vad kedjan faktiskt visar. Transparensen är inte en gest av god vilja; den är inbyggd. Postmortemen blir därför lika mycket ett försvarstal inför en domstol av anonyma granskare som en intern lärdom, och just den dubbelheten präglar hela genren.
Arvet från The DAO
Mallen göts sommaren 2016. The DAO var en ambitiös investeringsfond byggd på Ethereum, och i juni tömde en angripare den på drygt 3,6 miljoner ether genom ett så kallat reentrancy-fel, ett kodmönster där kontraktet betalar ut innan det hinner uppdatera sin egen bokföring. Värdet uppgick då till omkring 60 miljoner dollar, en astronomisk summa för ett ekosystem i sin linda. Ethereums grundare publicerade en kritisk uppdatering på stiftelsens blogg samma dag, och dokumentet framstår i efterhand som en av de första riktiga protokollpostmortemen.
Lösningen blev lika omtvistad som händelsen själv. Ethereum genomförde en hard fork som i praktiken rullade tillbaka stölden, vilket fick en minoritet att vägra följa med och i stället driva vidare den ursprungliga kedjan under namnet Ethereum Classic. Här föddes en spänning som varje postmortem sedan dess har tvingats förhålla sig till: principen att code is law, alltså att koden är den enda lagen, mot den mänskliga impulsen att ingripa när tillräckligt mycket pengar står på spel. En ether som kostade några tiotal kronor 2016 handlas i dag för tusentals kronor enligt CoinGeckos prisdata, vilket gör att eftermälet känns desto tyngre.
Anatomin i en modern postmortem
En genomarbetad postmortem följer i dag en ganska fast dramaturgi. Läsaren förväntar sig ett antal beståndsdelar, och frånvaron av någon av dem läses genast som ett varningstecken:
- Tidslinje: minut för minut, gärna med blocknummer, från första misstänkta transaktion till stoppad blödning.
- Grundorsak: den tekniska kärnan, vare sig det rör en oracle som gick att manipulera, en felaktig signaturkontroll eller en flash loan som lånade fram en hel attack.
- Bevis på kedjan: länkar till de exakta transaktionerna och adresserna, så att vem som helst kan verifiera påståendena.
- Omedelbar respons: vad teamet pausade, frös eller stängde av, och hur lång tid det tog.
- Pengarnas status: hur mycket som gick förlorat, hur mycket som täcks och vem som till sist bär notan.
- Åtgärder framåt: kodändringar, nya granskningar och, i bästa fall, en ärlig mening om vad som brast i kulturen, inte bara i koden.
Tonen varierar. Vissa team skriver torrt och tekniskt, andra anlägger en nästan biktande ödmjukhet. Gemensamt är att läsaren bedömer trovärdigheten lika mycket utifrån vad som utelämnas som utifrån vad som sägs. En postmortem utan tidsangivelser, eller som mystiskt undviker att nämna hur mycket som faktiskt försvann, övertygar ingen.
De stora haveriernas bokföring
För att förstå genren hjälper det att se på de incidenter som format den. Beloppen nedan är ungefärliga; de senare är omräknade till svenska kronor utifrån en växelkurs på cirka 10,50 kronor per dollar, och siffrorna avser värdet vid tidpunkten för respektive händelse. Branschens samlade förluster bokförs löpande av analysföretag som Chainalysis, som räknade 2022 som det dittills värsta året för kryptostölder.
| Protokoll | År | Förlust (cirka) | Typ av attack | Utfall |
|---|---|---|---|---|
| The DAO | 2016 | 60 miljoner dollar | Reentrancy | Hard fork, kedjan delades |
| Poly Network | 2021 | 6,4 miljarder kr | Cross-chain-exploit | Nästan allt återlämnades |
| Ronin | 2022 | 6,6 miljarder kr | Kapade validatornycklar | Ersättning efter kapitalrunda |
| Wormhole | 2022 | 3,4 miljarder kr | Felaktig signaturkontroll | Förlusten täcktes av Jump |
| Nomad | 2022 | 2,0 miljarder kr | Felaktig initiering | Delvis återlämnat av white hats |
| Mango Markets | 2022 | 1,2 miljarder kr | Oracle-manipulation | Uppgörelse via governance |
| Euler Finance | 2023 | 2,1 miljarder kr | Flash loan och donationsfel | Allt återlämnades |
Mönstret är tydligt. Broar mellan blockkedjor, så kallade bridges, återkommer gång på gång eftersom de samlar enorma värden på en enda sårbar punkt. Och utfallen spretar rejält: ibland försvinner allt, ibland lämnas allt tillbaka efter dagar av offentlig förhandling.
Rekt.news och postmortemens tabloidvariant
Om teamens egna rapporter är obduktionsprotokollet, så är topplistan på Rekt.news kvällstidningens löpsedel. Den anonyma publikationen har gjort konstform av att sammanfatta varje större haveri med svart humor, branschskvaller och en illa dold förakt för slarviga utvecklare. Deras leaderboard rankar förlusterna i fallande ordning och har blivit en sorts skammens hall of fame som ingen vill toppa.
Rekt fyller en verklig funktion. Där teamens egna texter ofta tvättas av jurister och kommunikatörer vågar den anonyma rösten ställa de obekväma frågorna: visste grundarna om risken, var revisionen ett spel för gallerierna, och varför upprepas samma misstag om och om igen? Stilen är medvetet brutal, men under sarkasmen finns ofta skarp teknisk analys. Genren lever alltså i två register samtidigt, det officiella och det folkliga, och läsaren behöver båda för att se hela bilden.
När white hats förhandlar
Den kanske mest fascinerande utvecklingen är att postmortemen numera ofta skrivs medan pengarna fortfarande är i rörelse. Efter att utlåningsprotokollet Euler Finance förlorade omkring 2,1 miljarder kronor i mars 2023 inleddes en närmast bisarr offentlig dialog. Teamet bäddade in meddelanden direkt i transaktioner på Ethereum, vädjade, hotade med dusörer och samordnade utredare i realtid. Efter ett par veckor lämnade angriparen tillbaka i princip allt, vilket CoinDesk rapporterade. Återbetalningen och den efterföljande fördelningen hanterades sedan öppet i protokollets governance.
Kontrasten mot Mango Markets är talande. Där utnyttjade en trader hösten 2022 en oracle som gick att blåsa upp, tömde protokollet på drygt en miljard kronor och använde sedan dess egna styrningsverktyg för att rösta igenom att han fick behålla en del som en sorts dusör. Han hävdade öppet att alltihop var en laglig handelsstrategi. Domstolarna höll inte med, och fallet visar hur tunn linjen är mellan white hat och tjuv när enda regeln tycks vara att koden råkar tillåta det.
Vad postmortems avslöjar om kryptokulturen
Genren är en spegel. Den blottar för det första hur sammanlänkad DeFi är: eftersom protokoll byggs ovanpå varandra som lego kan ett enda fel rasa genom ett dussin appar på minuter, och en postmortem måste därför ofta kartlägga skador långt utanför det egna kontraktet. Säkerhetsfirmor som SlowMist underhåller hela databaser över dessa kedjereaktioner, och listorna växer för varje kvartal.
För det andra avslöjar postmortemen en kulturell motsägelse. Branschen säljer in sig som tillitslös och självgående, men gång på gång är det mänskliga ingripanden, frysta kontrakt, framförhandlade återbetalningar och kapade nödbromsar, som räddar dagen. Att en stor del av koden dessutom ofta ligger öppet på GitHub betyder att en angripare ibland kan läsa själva rättningen innan den ens hunnit driftsättas, något som lär ha bidragit till just Wormhole-incidenten. Idealet om kod utan förtroende krockar med en vardag full av förtroendebeslut.
Finansinspektionen, MiCA och postmortemens framtid
Länge var postmortemen helt frivillig, en kulturell norm utan rättslig tyngd. Det håller på att ändras. Genom EU:s regelverk MiCA, vars regler för kryptoföretag rullades ut under 2024 och 2025, ställs nu krav på tillstånd, kapital och rapportering för utgivare och plattformar. ESMA samordnar tillämpningen på europeisk nivå.
För svenska läsare är det Finansinspektionen som är behörig myndighet, prövar tillstånden och utövar tillsyn. När ett reglerat företag drabbas av en allvarlig incident räcker det inte längre med ett blogginlägg riktat till X; det kan krävas formell rapportering till tillsynsmyndigheten inom utsatt tid. Den frivilliga, ibland nästan poetiska postmortemen får alltså sällskap av en torrare, juridiskt bindande tvilling. Frågan är om den folkliga genren överlever när advokaterna får sista ordet, eller om de två formerna kommer att leva sida vid sida.
Så läser du en postmortem kritiskt
Nästa gång ett protokoll havererar och rapporten landar, läs den med samma misstänksamhet som en garvad försäkringsutredare. Några hållpunkter att utgå från:
- Stämmer summorna? Jämför den uppgivna förlusten med vad kedjan visar; avvikelser är ett rött skynke.
- Vem bär notan? Skilj på pengar som återlämnats, pengar som täcks av en bakomliggande investerare och pengar som användarna helt enkelt får ta smällen för.
- Är grundorsaken namngiven? Vaga formuleringar om en sofistikerad angripare döljer ofta ett banalt och självförvållat fel.
- Vad lovas framåt? En ny revision är lätt att utlova; svårare är att erkänna att tidspressen eller incitamenten var själva problemet.
- Vad säger den folkliga rösten? Läs alltid teamets version mot oberoende källor innan du drar dina slutsatser.
Protokollpostmortemen är på så vis mer än en teknisk rapport. Den är kryptokulturens sätt att sörja, lära och, ibland, släta över. Den som lär sig läsa genren rätt förstår inte bara hur ett enskilt bygge rasade, utan något om hela branschens förhållande till risk, ansvar och pengar som rör sig snabbare än lagstiftarna hinner med. I en sektor som helst blickar framåt är obduktionsrapporten den sällsynta text som tvingar alla att stanna upp och titta bakåt.
Av Johan Källström, senior redaktör på HOGE Wire.