h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Culture & Long-reads

Post-mortemens rötter: vad krypto lånade från flyg och Silicon Valley

Krypto uppfann inte den offentliga obduktionen efter en hack. Branschen lånade idén från flygolyckor och Silicon Valley. Här är släktträdet, DORA-luckan och en läsarcheck.

Fredagen den 11 juli 2026, klockan 20.40 amerikansk östkusttid, satte en okänd angripare in 250 SAUCE-token i utlåningsprotokollet Bonzo Lend på Hedera-nätverket. Elva minuter senare skickade samma adress en prisuppdatering till orakelleverantören Supras verifieringskontrakt, en förfalskad signatur bestående enbart av nollor som kontraktet av misstag godkände och som blåste upp SAUCE-kursen med omkring tolv tiopotenser. Fyrtio minuter efter den första insättningen hade Bonzo Lend pausat protokollet. Total value locked hade rasat 77 procent och 9,05 miljoner dollar, drygt 87 miljoner kronor, var borta. Inom loppet av ett par dagar hade Supra publicerat grundorsaken, Bonzo hade lagt ut en tidslinje minut för minut, och en andra angripare hade självmant identifierat sig som white hat och lovat lämna tillbaka ytterligare en miljon dollar den hunnit låna innan pausen.

Det här mönstret, en offentlig obduktion inom timmar eller dagar, är numera så etablerat i krypto att det knappt väcker uppmärksamhet längre. Men varifrån kom idén egentligen? Krypto uppfann inte konceptet att offentligt utreda sina egna katastrofer. Branschen lånade det, oftast utan att säga det rakt ut, från flygindustrin, från sjukvården, och från ett blogginlägg en teknikchef på Etsy skrev 2012. Den här artikeln spårar det släktträdet, förklarar varför regelverket ser radikalt annorlunda ut för traditionell finans (EU:s DORA-förordning har fasta klockor, decentraliserad DeFi har noll), och avslutar med en checklista för att läsa nästa protokolls obduktionsrapport med kritiska ögon.

Vad är egentligen en protokoll-post-mortem?

En protokoll-post-mortem är en offentlig incidentrapport som ett DeFi-protokoll, en bro eller en börs publicerar efter en hack, en exploit eller en allvarlig bugg. Till skillnad från en traditionell banks tystnad efter ett dataintrång bygger kryptots version på att blockkedjan redan är offentlig: varje transaktion går att spåra för vem som helst, vilket gör att hemlighetsmakeri sällan fungerar i praktiken. Vi har tidigare gått igenom de sju byggstenarna i en trovärdig rapport i detalj, så den här artikeln nöjer sig med kärnan: en tidslinje, en teknisk grundorsak, en fullständig skadeomfattning, en åtgärdsplan och, oftast, ett besked om vem som ersätts och hur.

Ursprunget till genren i krypto brukar dateras till The DAO-hacket i juni 2016, då en angripare utnyttjade en reentrancy-bugg och drog med sig omkring en tredjedel av fondens innehåll, motsvarande ungefär 50 miljoner dollar vid dåtidens kurs, vilket i sin tur ledde till Ethereums hard fork. Vi och andra har kartlagt den händelsen och flera liknande fall i detalj tidigare, så det som är mindre utforskat, och det den här artikeln ägnar sig åt, är att The DAO inte uppfann formatet. Den lånade det, precis som varje protokoll gör idag, från branscher som obducerat sina egna misslyckanden mycket längre än krypto ens funnits.

Kontrasten mot vad som hände bara två år tidigare är slående. När börsen Mt. Gox kollapsade i februari 2014 och förlorade merparten av sina kunders bitcoin försvann bolaget i praktiken in i tystnad i månader, med spekulationer och läckta interna dokument som i princip enda informationskälla för drabbade användare. The DAO-hacket 2016 är den punkt där kryptobranschen istället valde motsatt väg: fullständig, snabb och offentlig genomlysning, mitt i krisen, inte månader efteråt.

Ett lånat ord: flyghaverikommissionens svarta låda

Den amerikanska myndigheten National Transportation Safety Board (NTSB) har utrett civila flygolyckor sedan 1967. Modellen är enkel i teorin: ett multidisciplinärt team, ett så kallat go-team, rycker ut inom timmar efter en allvarlig olycka, säkrar flygdataregistratorn och cockpit-röstinspelaren, tillsammans kända som den svarta lådan trots att den i verkligheten är orange, och sammanställer sedan en offentlig rapport med en fastställd sannolik orsak samt konkreta säkerhetsrekommendationer.

Hela processen tar normalt 12 till 24 månader, betydligt längre än krypto någonsin skulle tolerera, men principen att publicera fakta öppet, även när slutsatsen är obekväm för flygbolaget eller tillverkaren, är densamma som Bonzo Lend och andra protokoll följer i dag. Internationellt regleras samma sak av ICAO:s Annex 13, som gör haveriutredning till en fråga om säkerhet för hela flygsystemet, inte om att hitta en enskild syndabock hos ett specifikt flygbolag.

Det är ingen slump att just den principen, systemet före individen, är den som återkommer starkast i kryptots egna rapporter. När Chaos Labs eller Halborn utreder en exploit letar de i första hand efter vilken arkitektonisk brist som gjorde attacken möjlig, inte efter vilken enskild utvecklare som råkade skriva den aktuella raden kod.

Blamefri kultur: Google SRE och John Allspaws arv

Den mer direkta förlagan för krypto kommer sannolikt från mjukvaruindustrin. I maj 2012 publicerade John Allspaw, då teknikchef på Etsy, ett inlägg med titeln Blameless PostMortems and a Just Culture på företagets utvecklarblogg. Tanken var enkel men kontroversiell för sin tid: straffas en ingenjör för ett misstag lär sig ingen någonting av det, för nästa person gömmer i stället sina egna misstag i stället för att rapportera dem öppet. En just culture, som Allspaw kallade det, balanserar säkerhet mot ansvar genom att utreda de situationsmässiga orsakerna bakom ett fel snarare än att jaga en skyldig person.

Fyra år senare kodifierade Google samma idé i kapitel 15 av sin numera klassiska bok om driftsäkerhet, med rubriken Postmortem Culture: Learning from Failure. Google skriver där rakt ut att den blamefria kulturen ursprungligen kommer från sjukvården och flygindustrin, exakt de två branscher som redan nämnts ovan. Inom några år hade blameless postmortem blivit standardvokabulär i hela techbranschen, långt utanför Googles egna väggar.

När krypto sedan byggde sin egen version efter The DAO-hacket ärvde den både ordet och tankesättet, fast anpassad till en miljö där rapporten inte stannar i ett internt wiki utan publiceras för hela världen, inklusive angriparen själv. Det är också där just culture-tanken får en säregen kryptovariant: eftersom även angriparens plånbok är offentlig och spårbar blir det ibland mer rationellt för ett protokoll att förhandla direkt med tjuven, som när Euler Finance fick tillbaka nästan hela sin förlorade summa 2023 efter att angriparen skrivit att den inte hade för avsikt att behålla det som inte var dess, än att bara fördöma handlingen. Att skilja på system och skuld, kärnan i Allspaws ursprungliga idé, blir bokstavlig när själva förhandlingen sker i klartext på blockkedjan.

Sjukvårdens dödsfallskonferenser och GDPR:s 72-timmarsregel

Sjukvården har en ännu äldre tradition: morbiditets- och mortalitetskonferenser, ofta förkortat M&M-konferenser, där ett sjukhus samlar personalen för att gå igenom fall där något gick fel, inte i första hand för att utse en syndabock utan för att hitta systematiska brister i rutinerna. Principen liknar den Google beskriver, fast praktiken är över hundra år gammal inom amerikansk och europeisk sjukhusvård. I Sverige finns en delvis lagstadgad motsvarighet i Lex Maria, som tvingar vårdgivare att anmäla allvarliga vårdskador till Inspektionen för vård och omsorg.

Den mer regelstyrda europeiska motsvarigheten utanför sjukvården är GDPR. Artikel 33 kräver att ett företag som drabbas av ett personuppgiftsintrång ska anmäla det till tillsynsmyndigheten senast 72 timmar efter att man fått kännedom om det, om det inte är osannolikt att intrånget innebär en risk för de drabbades rättigheter.

Här börjar mönstret bryta mot krypto på ett viktigt sätt: GDPR är lag, med sanktionsavgift för den som struntar i tidsgränsen. Ingen motsvarande skyldighet finns för ett DeFi-protokoll som blir hackat, vilket för oss till den springande punkten i resten av den här artikeln.

Vad krypto lade till: en kedja som inte kan ljuga

Det krypto lade till, det ingen av förlagorna ovan hade, är själva beviskedjan. En flygolycka kräver ett expertteam med fysisk tillgång till vrakdelar. En protokollhack lämnar i stället hela brottsplatsen offentligt tillgänglig i evighet, på en blockkedja vem som helst kan läsa. Det gör att utomstående utredare, som Chainalysis, TRM Labs eller anonyma detektiver på X, ofta publicerar sin egen analys innan protokollet ens hunnit släppa sin officiella version. Det skapar ett konkurrenstryck mellan protokollet och internet: väntar teamet för länge med sin rapport hinner ett rykte, eller en felaktig slutsats, sprida sig först.

Bybits vd Ben Zhou drev den logiken till sin spets efter februari 2025-hacket på 1,5 miljarder dollar, drygt 14,5 miljarder kronor, den största kryptostölden någonsin. Börsen publicerade Sygnias och Verichains forensiska förhandsrapporter inom loppet av dagar, och Zhou själv sammanfattade det med att säga att ”our response is primarily to maintain transparency”, ett synsätt som satte en ny norm för hela branschen och som vi gått igenom närmare i kryptobranschens offentliga obduktioner.

Hastigheten har också ökat dramatiskt över tid, vilket är lika talande som själva rapporterna. Ronin-bron, som vi gått igenom i vår guide till Sky Mavis, förlorade 625 miljoner dollar i mars 2022, men det tog ungefär sex dagar innan någon ens upptäckte att pengarna var borta, efter att en användare inte kunde ta ut sina egna medel. Fyra år senare, i fallet Bonzo Lend, gick det fyrtio minuter från första insättning till pausat protokoll. Det är den tidsaxeln, snarare än enskilda dollarsummor, som bäst visar hur mycket snabbare hela ekosystemet blivit på att upptäcka och offentliggöra sina egna misstag.

Fyra branscher, fyra sätt att hantera ett misslyckande

Ställer man branscherna sida vid sida framträder ett tydligt mönster: krypto är den enda som gör hela processen både offentlig och frivillig samtidigt. Flyget är offentligt men lagstadgat. Mjukvaruindustrin är frivillig men oftast intern. Traditionell finans är lagstadgad men rapporterar till en myndighet, inte till allmänheten.

BranschVem utrederOffentlig rapportTidsramKonsekvens för den ansvariga
FlygindustrinNationell haverikommission, till exempel NTSBJa, lagstadgat12 till 24 månaderSäkerhetsrekommendationer, sällan straffansvar
Mjukvara och SREInterna incident-teamSällan i detalj, oftast interntDagar till veckorI princip aldrig, kulturen är uttalat blamefri
SjukvårdM&M-konferens, ibland Lex Maria-anmälanSällan i detalj offentligtVeckorKan leda till tillsyn från IVO
Traditionell finans i EUFöretaget självt, rapporterar till myndighetNej, rapporten går till myndigheten4 timmar, 72 timmar, 1 månad enligt DORASanktionsavgift vid utebliven rapport
Krypto och DeFiProtokollteamet, ofta med extern forensikerJa, frivilligt, till hela världenTimmar till dagarNästan ingen, marknaden är straffet

Rad fyra i tabellen ovan förtjänar en egen sektion, för den är den enda som direkt berör svenska finansbolag, inklusive de som handlar med krypto.

DORA: TradFi:s lagstadgade motsvarighet

Digital Operational Resilience Act, förkortat DORA, har gällt inom EU sedan den 17 januari 2025. Till skillnad från GDPR:s 72-timmarsregel, som gäller alla företag som hanterar personuppgifter oavsett bransch, är DORA specifikt riktad mot finanssektorn: banker, försäkringsbolag, värdepappersbolag och, viktigt för den här artikeln, kryptoplattformar. Alla bolag som fått tillstånd som CASP, Crypto-Asset Service Provider, under MiCA räknas uttryckligen som finansiella entiteter enligt förordningens artikel 2(1)(s).

De tekniska standarderna som EU:s tillsynsmyndigheter tagit fram sätter hårda klockor för vad förordningen kallar en allvarlig IKT-incident: en första anmälan senast fyra timmar efter att incidenten klassificerats, dock aldrig senare än 24 timmar efter att den upptäckts, en mellanrapport inom 72 timmar, och en slutrapport inom en månad. Kraven är dessutom proportionerliga: en liten svensk kryptomäklare möter ett enklare ramverk än en systemviktig börs, men ingen reglerad aktör är helt undantagen de grundläggande kraven på IKT-riskhantering, incidentrapportering och kontroll av tredjepartsleverantörer.

Det är i praktiken nästan exakt de tidsramar krypto redan frivilligt närmar sig, som vi såg med Bonzo Lends fyrtio minuter till paus och Gnosis Pays två timmar till fastställd grundorsak. Skillnaden är att DORA gör tidsramarna obligatoriska, med sanktionsavgift som påtryckningsmedel, för den del av branschen som faktiskt är licensierad. Och det är precis där gränsen går.

Finansinspektionen och luckan för decentraliserad DeFi

I Sverige är Finansinspektionen utsedd behörig myndighet för DORA och har sedan januari 2025 integrerat förordningen i sin löpande tillsyn av finansiella entiteter, inklusive de kryptobörser och förvaringstjänster som fått MiCA-tillstånd att verka i Sverige.

Men här ligger den springande punkten i hela den här artikeln: DORA träffar bara företag som redan är licensierade. Bonzo Lend, Aave, Euler och praktiskt taget varje protokoll som nämnts i den här artikelserien är inte licensierade av någon myndighet, eftersom de är uppsättningar smarta kontrakt utan en central juridisk person att utfärda ett tillstånd till i första hand. MiCA undantar uttryckligen fullt decentraliserad DeFi utan mellanhand från sitt tillämpningsområde, vilket betyder att varken MiCA:s konsumentskydd eller DORA:s rapporteringsplikt någonsin når fram till dem.

Post-mortemen är, med andra ord, inte ett komplement till reglering för ett DeFi-protokoll. Den är den enda regleringen som finns, helt självpåtagen och utan någon sanktion för den som väljer att strunta i den. En svensk sparare som förlorar pengar i en decentraliserad exploit har ingen Finansinspektion att klaga hos, ingen insättningsgaranti och inget ombudsmannaförfarande. Det enda som återstår är protokollets egen vilja att berätta vad som hände, och marknadens minne av hur den berättelsen togs emot.

När post-mortemen handlar om ett eget misstag: Aave och CAPO-glappet

De flesta exemplen i den här artikeln handlar om en angripare som utnyttjar en sårbarhet. Men några av de mest lärorika post-mortemsen handlar om att protokollet skadar sig självt, utan att någon utomstående ens behöver agera.

I mars 2026 upptäckte Aave att dess CAPO-mekanism, Correlated Asset Price Oracle, som är tänkt att skydda mot att en token med ett stabilt värdeförhållande till en annan (som wstETH mot ETH) prissätts fel vid en plötslig kursrörelse, hade ett internt glapp mellan en sparad ögonblicksbild och dess tidsstämpel. Glappet gjorde att wstETH undervärderades med ungefär 2,85 procent, vilket i sin tur utlöste likvidering av 34 konton till ett värde av omkring 26 till 27 miljoner dollar, motsvarande 250 till 260 miljoner kronor, utan att en enda rad skadlig kod var inblandad och utan att protokollet fick några dåliga skulder.

Chaos Labs, som driver CAPO-verktyget, publicerade grundorsaken i Aaves eget styrningsforum inom loppet av dagar. Grundaren Omer Goldberg lovade offentligt: ”Every affected user will be fully reimbursed”, ett löfte han sedan följde upp med en konkret ersättningsplan i styrningsforumet.

Fallet är ett bra motargument mot tanken att en post-mortem bara handlar om att jaga en hackare. Ibland är den egna säkerhetsmekanismen boven, den som var tänkt att skydda användarna orsakade i stället förlusten, och det kräver minst lika mycket öppenhet att erkänna det som det gör att peka ut en extern angripare. Jämför det med hur en traditionell bank hanterar ett internt prissättningsfel: i bästa fall en teknisk anmärkning i en kvartalsrapport långt senare, i värsta fall ingenting alls om ingen kund råkar fråga. Aaves styrningsforum, där vem som helst kan läsa hela utredningen samma dag den publiceras, är i sig ett resultat av samma kultur som resten av den här artikeln beskriver, bara tillämpad på ett misstag utan en enda skyldig utomstående part.

Försäkringen efter obduktionen: Nexus Mutual och Chainproof

Ett sista lager har vuxit fram runt post-mortem-kulturen: försäkring. Nexus Mutual, det äldsta on-chain-försäkringsbolaget, har sålt skydd sedan 2019 och betalat ut drygt 18,2 miljoner dollar, cirka 176 miljoner kronor, fördelat på 37 skadeanmälningar, enligt bolagets egen skadedashboard.

När DeFi-protokollet Arcadia Finance förlorade cirka 3,5 miljoner dollar, drygt 33 miljoner kronor, i juli 2026 betalade Nexus Mutual, tillsammans med distributionspartnern OpenCover, ut omkring 250 000 dollar, drygt 2,4 miljoner kronor, till drabbade andelsägare inom loppet av några veckor efter en obligatorisk karenstid. Det är en bråkdel av totalförlusten för de enskilda drabbade, men det är samtidigt mer förutsägbart än att sitta och vänta på att en angripare frivilligt ska ångra sig, som i fallet med Euler Finance 2023.

Ett nyare bolag, Chainproof, tar en annan väg: det är byggt som ett reglerat försäkringsbolag med traditionellt återförsäkringskapital i botten snarare än en on-chain-pool, och lovar att betala ut ersättning inom 14 till 30 arbetsdagar baserat på verifierbar on-chain-data. Att täckningen ändå förblir liten handlar delvis om kapital: en on-chain-försäkringspool måste vara fullt kapitaliserad i förväg av andra kryptoanvändare som själva tar en risk, till skillnad från en traditionell försäkringsjätte med tillgång till globala kapitalmarknader och återförsäkring. Det gör att den absoluta merparten av alla protokoll som nämns i den här artikeln aldrig hade något försäkringsskydd att falla tillbaka på över huvud taget.

Ingen av modellerna är i närheten av att täcka de hundratals miljoner dollar som säkerhetsfirmor räknar som årliga förluster i sektorn. Men båda är ett tecken på att post-mortemen håller på att få ett konkret ekonomiskt efterspel, inte bara en teknisk redogörelse utan även en handling som kan utlösa en faktisk utbetalning.

Så bedömer du en post-mortems trovärdighet: sju kontrollpunkter

Inte alla post-mortemsar är lika ärliga. Vissa är genomarbetade tekniska redogörelser som håller för granskning år senare. Andra är PR-dokument som bara ser ut som teknik. Här är sju kontrollpunkter att gå igenom innan du litar på ett protokolls egen version av vad som hände.

KontrollpunktVad en trovärdig rapport visarVarningssignal att se upp för
TidslinjeExakta klockslag, gärna kopplade till blocknummer eller transaktionshashVaga formuleringar som tidigt på morgonen
GrundorsakEn konkret teknisk förklaring: kodrad, felkonfiguration eller komprometterad nyckelVi utreder fortfarande, veckor efter händelsen
SkadeomfattningExakt antal drabbade plånböcker och belopp per tillgångsslagEtt enda rundat totalbelopp utan uppdelning
Extern verifieringEn namngiven, oberoende forensisk firma bekräftar slutsatsernaBara protokollets eget team uttalar sig
ÅtgärdsplanEn konkret kodfix, gärna kopplad till en genomförd re-auditLöften om förbättrad säkerhet utan detaljer
ErsättningTydligt besked om vem som får tillbaka pengar och närTystnad om de drabbade användarnas situation
StyrningskonsekvensFörändrad multisig-tröskel, nya signerare, uppdaterade rutinerBusiness as usual inom en vecka

Ju fler av de sju punkterna en rapport uppfyller, desto större anledning att lita på den. Ju fler varningssignaler, desto större anledning att vänta på en oberoende bekräftelse innan du drar egna slutsatser.

Kritiken: teater eller terapi?

Post-mortem-genren har också sina kritiker. När Ethereums nya säkerhetsfond, uppbyggd kring 75 000 tidigare outnyttjade ETH från The DAO-hacket 2016, lanserades i början av 2026, fördelade den redan under sin första omgång över en miljon dollar i bidrag till 134 säkerhetsprojekt. Fonden delar ut ungefär åtta miljoner dollar om året, drygt 77 miljoner kronor, genom sju namngivna kuratorer.

Marcin Kazmierczak, medgrundare av orakelleverantören RedStone, pekade på en obekväm sanning i sammanhanget. Enligt honom ”it doesn’t remove trust, it just moves it”. Istället för att lita på att koden är felfri ska användarna nu lita på att sju namngivna personer och en fördelningsprocess allokerar pengarna klokt.

Samma logik går att applicera på post-mortemen som genre i stort. En välskriven rapport känns betryggande i stunden, men den bevisar i sig inget om att protokollet faktiskt blir säkrare nästa gång. Flera protokoll har genom åren publicerat närapå identiska löften om förbättrad säkerhetsarkitektur efter upprepade incidenter, utan att någon oberoende part sedan kontrollerar om löftet faktiskt hålls över tid. Så länge marknaden belönar en snabb och välskriven obduktion nästan lika mycket som den bestraffar den faktiska sårbarheten som orsakade den, finns risken att formatet gradvis optimeras för att se bra ut snarare än att på allvar förhindra nästa Bonzo Lend.

Det betyder inte att hela genren är cynisk. De protokoll som konsekvent levererar detaljerade, snabba och självkritiska rapporter, år efter år, bygger på sikt ett rykte som är svårt att fejka en enda gång. Skillnaden mellan teater och terapi handlar i slutänden om mönster över tid, inte om en enskild rapports formuleringar.

Vart är genren på väg?

Några svaga signaler pekar ändå mot en form av standardisering. Security Alliance publicerar redan gemensamma ramverk, både för multisigsäkerhet och för sin Whitehat Safe Harbor, en mall för hur en förhandling med en angripare bör gå till för att räknas som legitim snarare än utpressning. Forensiska firmor som Halborn, Chaos Labs och Sygnia dyker upp som återkommande, namngivna avsändare i allt fler rapporter, vilket sakta bygger något som liknar en oberoende revisionsbransch runt hela post-mortem-formatet.

EU har samtidigt signalerat att MiCA:s nästa fas, tidigast väntad 2027 till 2028, kan komma att beröra delar av decentraliserad finans som i dag står helt utanför regelverket. Om så sker vore det första gången en lagstiftare på allvar närmar sig det som Bonzo Lend, Aave och hundratals andra protokoll redan gör helt frivilligt varje månad.

Tills dess är den bästa garantin fortfarande inbyggd i genren själv: en blockkedja som inte glömmer någonting, och en läsekrets som med tiden blivit tillräckligt van vid formatet för att se skillnaden mellan en genomarbetad utredning och ett hastigt sammansatt PR-utskick. Den skillnaden, mer än någon enskild lag, är det som i slutänden avgör om nästa protokolls post-mortem går att lita på.

Vanliga frågor om post-mortems och reglering

Vad är en post-mortem inom krypto?

En post-mortem är en offentlig rapport som ett protokoll, en börs eller en bro publicerar efter en hack, en exploit eller en allvarlig bugg. Den beskriver normalt vad som hände i tidsordning, vilken teknisk brist som utnyttjades, hur mycket som förlorades och vilka åtgärder som vidtas för att det inte ska upprepas. Formatet är frivilligt, men har blivit så pass etablerat i krypto att ett protokoll som tiger helt efter en incident sticker ut negativt.

Är protokoll juridiskt skyldiga att publicera en post-mortem efter en hack?

Nej, inte om protokollet är fullt decentraliserat. MiCA undantar DeFi utan en central mellanhand, och Digital Operational Resilience Act, DORA, som tvingar reglerade finansbolag att rapportera allvarliga IT-incidenter inom bestämda tidsramar, gäller bara företag som redan har ett tillstånd att förlora, till exempel en börs med CASP-licens. Ett protokoll som Bonzo Lend eller Aave har ingen tillsynsmyndighet som kan kräva en rapport, vilket gör att hela praxisen bygger på självreglering och grupptryck snarare än lag.

Vad är skillnaden mellan en post-mortem och en säkerhetsrevision?

En revision, eller audit, sker före en incident och letar proaktivt efter sårbarheter i koden innan den lanseras eller uppdateras. En post-mortem skrivs efter en incident och förklarar vad som redan gått fel. Ett protokoll kan alltså ha genomgått flera revisioner och ändå drabbas av en hack, om revisionen missade en sårbarhet eller om koden ändrades efter granskningen. De två dokumenten kompletterar varandra men svarar på olika frågor: en revision frågar vad som kan gå fel, en post-mortem frågar vad som gick fel och varför det missades.

Hur snabbt brukar protokoll publicera en post-mortem efter en hack?

Det varierar kraftigt. De starkaste exemplen, som Gnosis Pay och Bonzo Lend, har identifierat grundorsaken inom ett par timmar och publicerat en fullständig rapport inom några dagar. Andra fall drar ut på flera veckor, särskilt när flera parter är oense om skuldfrågan. Som jämförelse ger EU:s DORA-förordning reglerade finansbolag fyra timmar för en första anmälan och en månad för en slutrapport, tidsramar som de snabbaste kryptoprotokollen redan frivilligt slår med god marginal.

Kan jag lita på ett protokolls egen post-mortem-rapport?

Var källkritisk. Leta efter en detaljerad tidslinje, en konkret teknisk grundorsak, en fullständig skadeomfattning och helst en namngiven extern forensisk firma som bekräftar slutsatserna. Var mer skeptisk om rapporten är vag om orsaken, undviker att nämna hur många användare som drabbades, eller stannar vid allmänna löften om förbättrad säkerhet utan konkreta åtgärder. En post-mortem skriven av protokollet självt är alltid en part i målet, inte en oberoende domare.

Skrivet av HOGE Wires redaktion.

Share 𝕏 Post Telegram