h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Culture & Long-reads

Post-mortem-kulturen: kryptobranschens offentliga obduktioner

Från Gnosis Pay till Bybit blev kryptobranschens haverier en offentlig genre. Vi synar obduktionens hantverk och vad det betyder för svenska sparare.

Gnosis Pay-obduktionen: en mall för hur det ska gå till

Den 1 juni 2026, klockan 06.17 UTC, larmade Gnosis Pays övervakning om en första obehörig överföring. Inom två timmar hade teamet pekat ut rotorsaken: en svaghet i version 3.4.0 av Zodiac, det ramverk av smart contract-moduler som styr betalkortens säkerhetsvalv. Felet hade legat dolt i koden sedan den 30 oktober 2023 och satt i modulerna Delay och Roles; det handlade om hur signaturer verifierades (ERC-1271), där koden aldrig kontrollerade att ett kontraktsanrop faktiskt lyckades. Angriparen tömde omkring 1,5 miljoner dollar, cirka 14,5 miljoner kronor, från 5 281 plånböcker.

Det som följde är mer intressant än själva stölden. Gnosis Pay publicerade en detaljerad post-mortem, tog hela förlusten själv och lät kunderna gå skadeslösa. De första kontona återställdes natten till den 3 juni, 99 procent var åtgärdade den 6 juni och de patchade modulerna skickades till säkerhetsfirman ChainSecurity för ny granskning. Ungefär 300 000 dollar, runt 2,9 miljoner kronor, återstod ospårade när rapporten gick ut, och företaget bekräftade senare att samtliga användarmedel hade återställts.

Berättelsen rymmer varje beståndsdel i det som blivit kryptobranschens mest egenartade genre: den offentliga obduktionen. Tidslinje på minuten, öppen rotorsaksanalys, kunder som hålls skadeslösa och en kodfix som skickas tillbaka till revisorn. Det är post-mortem-kulturen i miniatyr.

Vad en post-mortem faktiskt är

En post-mortem, eller obduktion, är den rapport ett protokoll eller en börs publicerar efter ett angrepp: vad som hände, hur och när, hur mycket som försvann och vad som görs åt saken. I traditionell finans stannar sådant ofta bakom stängda dörrar, hos försäkringsbolag och tillsynsmyndigheter. I krypto sker det offentligt, ofta i realtid, och nästan alltid on-chain, där varje transaktion redan ligger synlig för vem som helst att granska.

Skälet är delvis praktiskt. Blockkedjan är en gemensam liggare; en angripares adress, de stulna beloppen och pengarnas väg genom blandare som Tornado Cash går att följa direkt i webbläsaren. Men skälet är också kulturellt, och delvis ett tomrum. När ett renodlat DeFi-protokoll hackas finns sällan någon myndighet att vända sig till och sällan någon försäkring att åberopa. Obduktionen, och det tryck den sätter på förövaren att lämna tillbaka pengarna, har blivit ett substitut för den rättsliga prövning som saknas.

Anatomin i en trovärdig obduktion

Alla incidentrapporter är inte lika mycket värda. Efter tio år av haverier har läsarna lärt sig att skilja en ärlig obduktion från en efterhandskonstruktion. De mest respekterade rapporterna brukar innehålla samma beståndsdelar:

  • En tidslinje på minuten, från första larm till åtgärd.
  • En teknisk rotorsak, inte bara att ”en sårbarhet utnyttjades”.
  • Berörda adresser och transaktioner, så att vem som helst kan verifiera on-chain.
  • Ett tydligt besked om vem som bär förlusten, protokollet eller användarna.
  • Konkreta åtgärder: patch, ny revision och ändrade rutiner.
  • Ett bounty-erbjudande eller en öppen kanal till angriparen.

Saknas flera av punkterna brukar marknaden reagera därefter. Ett protokoll som skyller ifrån sig, döljer beloppet eller tystnar i dagar förlorar ofta mer i förtroende än i stulna kronor.

The DAO vid tio år: från exploit till säkerhetsfond

Genren är nästan lika gammal som Ethereum. I juni 2016 tömdes The DAO, en tidig investeringsfond byggd på smarta kontrakt, på ungefär 3,6 miljoner ETH (omkring en tredjedel av hela fonden, värt runt 50 miljoner dollar då) genom en så kallad reentrancy-bugg. Svaret blev en hård fork vid block 1 920 000, som delade nätverket i Ethereum och Ethereum Classic; det förblir ett av branschens mest omtvistade beslut.

Tio år senare har historien fått ett andra kapitel. Den 29 januari 2026 återuppstod The DAO som en säkerhetsfond: mer än 75 000 ETH i ohämtade medel från 2016 års räddning, värt över 220 miljoner dollar, omvandlades till en stiftelse på runt 150 miljoner dollar för Ethereums säkerhet. Cirka 69 420 ETH stakas för att ge omkring 8 miljoner dollar om året i avkastning, som delas ut till säkerhetsforskare, verktygsbyggare och snabbinsatsteam. Fonden styrs av sju kuratorer, bland dem Vitalik Buterin, MetaMask-utvecklaren Taylor Monahan och The DAO-veteranen Griff Green, och den första rundan fördelade mellan den 23 april och 14 maj över 1 miljon dollar i ETH till 134 projekt.

Det säger något om branschens självbild att den mest kända katastrofen firas snarare än begravs.

Bybit och den radikala transparensen

Om Gnosis Pay visar hur en liten obduktion ska se ut, satte Bybit standarden för de stora. Den 21 februari 2025 försvann 401 347 ETH, värda omkring 1,5 miljarder dollar (cirka 14,5 miljarder kronor), i den största kryptostölden någonsin. Ingen privat nyckel stals och ingen kod var trasig i vanlig mening. Angriparen hade injicerat skadlig JavaScript i gränssnittet till plånboksverktyget Safe{Wallet}, via en komprometterad utvecklarmaskin, så att de som skrev under trodde att de godkände en rutinöverföring medan de i själva verket signerade en helt annan transaktion. Det kallas blind signing, och FBI knöt snabbt angreppet till den nordkoreanska gruppen Lazarus.

Bybits vd Ben Zhou gjorde motsatsen till att tystna. Han uppdaterade läget löpande, lovade full täckning av kundmedel och lät de externa utredarna Sygnia och Verichains publicera preliminära forensiska rapporter inom dagar; en bounty på omkring 140 miljoner dollar sattes ut för att spåra och frysa pengarna. Det var den forensiska öppenheten, mer än beloppet, som blev måttstocken och skakade om hela branschen.

Mönstret återkom i två av de andra stora stölderna. Hos WazirX i juli 2024 (omkring 230 miljoner dollar) och hos Radiant Capital i oktober 2024 (cirka 50 miljoner dollar) stals inga nycklar heller; i båda fallen visade signeringsverktyget en ofarlig transaktion medan en helt annan skrevs under i bakgrunden. Lärdomen som obduktionerna slog fast var densamma: verifiera alltid den råa transaktionen, inte bara det som gränssnittet visar.

On-chain-förhandlingen: när angriparen svarar tillbaka

Ett drag som saknar motsvarighet i vanlig finans är förhandlingen som utspelar sig i transaktionernas meddelandefält. När DeFi-långivaren Euler Finance förlorade omkring 197 miljoner dollar i en flash loan-attack i mars 2023 svarade protokollet inte bara med en obduktion, utan med ett offentligt anrop till angriparen, skrivet on-chain. Hackaren svarade i samma kanal, med bland annat orden ”No intention of keeping what is not ours”, och lämnade till slut tillbaka nästan alla pengar som gick att återföra, mot en whitehat-bounty på tio procent (ungefär 19,7 miljoner dollar).

Ritualen har upprepats sedan dess: protokollet erbjuder en andel, ofta tio procent, i utbyte mot att resten kommer tillbaka och att inga rättsliga steg tas. Det är en märklig sorts diplomati, förd i klartext på en offentlig liggare, och den fungerar förvånansvärt ofta.

Men diplomatin har sina gränser. Statsanknutna grupper som Lazarus förhandlar sällan; de tvättar i stället bytet genom tjänster som Tornado Cash, och då hjälper varken dusör eller vädjan. Det är också därför de nordkoreanska angreppen står för en så oproportionerligt stor del av de förlorade beloppen.

Rekt.news och dödsrunans estetik

Ingen genre är komplett utan sina krönikörer. Sajten Rekt.news har gjort sig till branschens obduktionsförfattare med anonyma, nästan noir-färgade dödsrunor över fallna protokoll, komplett med en topplista som rangordnar de största stölderna genom tiderna. Listan fungerar som kollektivt minne och skampåle på en gång; att hamna högt på den är en förödmjukelse ingen tillsynsmyndighet kan utdela.

Tonen är medvetet litterär, ibland raljant, men funktionen är allvarlig. Genom att gång på gång berätta samma sorts historia (en obevakad admin-nyckel, oreviderad kod, en blind signering) gör dessa dödsrunor misstagen svårare att upprepa. De är branschens motsvarighet till en haverikommissions rapporter, fast skrivna för att läsas.

Siffrorna bakom 2026: fler hack, mindre stöldvärde

Att obduktionerna behövs bekräftas av statistiken. Enligt TRM Labs drabbades branschen av rekordmånga 207 hack under första halvåret 2026, men den sammanlagda förlusten föll till omkring 972 miljoner dollar, mindre än hälften av de cirka 2,3 miljarder dollar som stals under samma period 2025. Paradoxen förklaras av var pengarna faktiskt läcker ut.

Exploits mot smarta kontrakt stod för 125 av 207 incidenter men en liten del av värdet, medan angrepp mot infrastruktur och nycklar (stulna privata nycklar och seed-fraser) utgjorde bara omkring 15 procent av incidenterna men hela 76 procent av det stulna värdet. Nordkoreanska aktörer låg bakom uppskattningsvis 643 miljoner dollar, runt två tredjedelar av allt som stals. Med andra ord: de dyraste haverierna handlar allt oftare om människor och rutiner, inte om trasig kod.

FallDatumFörlust (cirka)RotorsakUtfall
Gnosis Payjuni 202614,5 mn krERC-1271-fel i Zodiac-modulKunder skadeslösa, kod omreviderad
KelpDAOapril 20262,8 mdr krCross-chain bridge-meddelandeDelvis återförd
Bybitfebruari 202514,5 mdr krBlind signing via Safe-gränssnittKunder täckta, bounty utlyst
Radiant Capitaloktober 2024480 mn krSkadlig kod och blind signingEj återförd, Lazarus-spår
WazirXjuli 20242,2 mdr krGränssnitt visade fel transaktionsdataDelvis, rättsprocess
Euler Financemars 20231,9 mdr krFlash loan och felaktig kontrollNästan allt återfört

Belopp omräknade till kronor vid en dollarkurs på ungefär 9,65 (juli 2026); siffrorna är avrundade.

SEAL Safe Harbor: att göra whitehat-räddningar juridiskt trygga

Problemet med on-chain-förhandlingen är att den vilar på god vilja och en juridisk gråzon. En whitehat som tömmer ett sårbart valv för att rädda pengarna innan en riktig tjuv hinner först gör tekniskt sett samma sak som en angripare. För att lösa det har branschorganisationen Security Alliance (SEAL) lanserat ett ramverk kallat Whitehat Safe Harbor: ett offentligt, ensidigt och juridiskt bindande erbjudande där ett protokoll i förväg går med på att en whitehat får behålla en bounty (tio procent, med ett tak på 1 miljon dollar) om pengarna lämnas tillbaka inom 72 timmar och räddaren genomgår KYC- och sanktionskontroll.

Ramverket, som sjösattes 2024, har antagits av protokoll som tillsammans förvaltar miljarder dollar, däribland Uniswap, Aave och Pendle, och SEAL:s snabbinsatskanal SEAL911 uppger att whitehat-gemenskapen redan hjälpt till att rädda över 150 miljoner dollar ur pågående attacker. Det är ett försök att kodifiera det som post-mortem-kulturen redan gör informellt: förvandla en kaotisk kris till en förutsägbar procedur.

Vad det betyder för svenska sparare och Finansinspektionen

För svenska läsare landar allt detta i en regulatorisk skillnad som är lätt att missa. EU-regelverket MiCA, som Finansinspektionen (FI) tillämpar, omfattar centraliserade aktörer: börser, förvaringstjänster och andra så kallade CASP:er. Sedan den 1 oktober 2025 måste varje kryptoföretag som vänder sig till svenska kunder ha ansökt om tillstånd hos FI eller upphöra med verksamheten; företag som redan var registrerade hade på sig till den 30 september 2025 att lämna in sin ansökan. Drabbas du av ett haveri hos en sådan aktör finns det alltså en myndighet att vända sig till.

Renodlad DeFi faller däremot utanför MiCA. Där finns ingen CASP, ingen klagomålsväg och ingen insättningsgaranti, och särskilda DeFi-regler väntas först någon gång 2027 till 2028. Fram till dess är obduktionen, dusören och on-chain-förhandlingen i praktiken den enda kundtjänst en drabbad DeFi-användare har. Det gör post-mortem-kulturen till något mer än branschfolklore; för en stor del av marknaden är den det närmaste ett skyddsnät som finns.

Krypto har gjort det få andra branscher vågar: förvandlat sina värsta stunder till en offentlig, läsbar och delvis självreglerande genre. Obduktionen läker ingen förlust, men den ser till att nästa protokoll åtminstone gör ett nytt misstag, inte samma gamla.

Av HOGE Wires redaktion. Materialet är allmän information om kryptomarknaden, inte finansiell eller juridisk rådgivning.

Share 𝕏 Post Telegram