h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Culture & Long-reads

Protokoll-postmortems: så obducerar krypto sina haverier

Efter varje stort hack publicerar kryptoteam en detaljerad haverirapport. Vi förklarar var postmortem-kulturen kommer ifrån och hur du läser den kritiskt.

Varje gång ett DeFi-protokoll töms på pengar, en bro hackas eller en stablecoin tappar sin koppling följer ett återkommande mönster. Inom några timmar eller dagar publicerar teamet bakom protokollet en detaljerad rapport om exakt vad som gick fel. Dessa dokument kallas postmortems, och de har vuxit till en egen genre i kryptovärlden. De läses av utvecklare, traders, journalister och numera även av tillsynsmyndigheter. Den här guiden förklarar var kulturen kommer ifrån, hur en bra rapport är uppbyggd och varför den säger något om hur mogen branschen egentligen är.

Vad en postmortem faktiskt är

En postmortem är en efterhandsanalys av en allvarlig incident. I kryptosammanhang handlar det nästan alltid om förlorade pengar: ett smart kontrakt som utnyttjats, en privat nyckel som läckt, ett manipulerat prisorakel eller ett fel i en kompilator. Rapporten beskriver vad som hände, varför det kunde hända, hur mycket som gick förlorat och vad teamet tänker göra för att det inte ska upprepas. Till skillnad från en pressrelease är syftet inte att skydda varumärket, utan att dela kunskap så att andra protokoll slipper göra om samma misstag.

Det som gör genren ovanlig är öppenheten. Eftersom de flesta blockkedjetransaktioner är publika kan vem som helst följa pengarnas väg på kedjan. En rapport som försöker dölja eller förvränga vad som hänt blir snabbt motbevisad av oberoende analytiker som läser samma data. Transparens är därför inte bara god ton, det är i praktiken ett krav för att behålla något förtroende efter en kris.

Kulturen lånades från flyget och driftvärlden

Idén att skriva strukturerade haveriutredningar är äldre än krypto. Den kommer ursprungligen från säkerhetskritiska branscher som flyget och sjukvården, där varje misstag betraktas som ett tillfälle att stärka systemet i stället för att straffa en enskild person. Inom mjukvara populariserades metoden av driftingenjörer, och Googles bok om Site Reliability Engineering ägnar ett helt kapitel åt vad de kallar en skuldfri postmortemkultur. Grundtanken är att alla inblandade agerade i god tro utifrån den information de hade, och att felet sitter i systemet snarare än i individen.

Kryptobranschen tog över både formatet och filosofin, men under hårdare press. När en driftstörning hos ett vanligt techbolag oftast betyder några timmars otillgänglighet, kan en bugg i ett smart kontrakt innebära att hundratals miljoner kronor försvinner på några minuter, utan någon möjlighet att ångra transaktionen. Det höjer insatserna och gör den skuldfria, faktabaserade tonen ännu viktigare. En postmortem som letar syndabockar lär ingen något; en som letar systemfel kan rädda nästa protokoll.

Anatomin i en trovärdig postmortem

De rapporter som branschen tar på allvar följer ungefär samma struktur. När du läst ett par stycken känner du snabbt igen delarna och, viktigare, ser vilka som saknas.

  • Tidslinje. En redogörelse minut för minut, ofta med länkar till de exakta transaktionerna på kedjan.
  • Grundorsak. Den tekniska kärnan: vilken rad kod, vilket antagande eller vilken behörighet som brast.
  • Påverkan. Hur mycket som förlorades, vilka användare som drabbades och vilka delar av protokollet som berördes.
  • Åtgärder. Vad som gjordes akut för att stoppa blödningen, och vad som ändras på sikt.
  • Lärdomar. Ärliga slutsatser, inklusive sådant teamet borde ha gjort annorlunda.

En svaghet är när rapporten fastnar på vad och hoppar över varför. Att skriva att en angripare utnyttjade en sårbarhet säger ingenting i sig. En trovärdig text förklarar varför sårbarheten fanns där, varför den passerade kodgranskningen och varför den inte upptäcktes tidigare. Det är där läsaren faktiskt lär sig något, och det är också där de svagaste rapporterna brukar tystna.

Fallen som format genren

Några incidenter har blivit obligatorisk läsning, både för att de var stora och för att rapporterna efteråt satte standarden. Den första var attacken mot The DAO sommaren 2016, då ungefär 3,6 miljoner ETH (värt omkring 600 miljoner kronor vid tillfället) dränerades genom en så kallad reentrancy-bugg. Händelsen ledde till att Ethereum delades i två kedjor efter en omstridd hard fork och förändrade hela ekosystemet, som CoinDesk senare sammanfattade det.

Sedan dess har varje större hack lämnat efter sig en rapport. Tabellen nedan sammanfattar några av de mest inflytelserika, med belopp omräknade till ungefär dagens kronvärde.

ProtokollÅrFörlust (cirka)Grundorsak enligt postmortemUtfall
The DAO2016600 miljoner krReentrancy i uttagsfunktionHard fork, Ethereum Classic
Wormhole20223,2 miljarder krBristande signaturkontrollJump Crypto ersatte medlen
Ronin20226,2 miljarder krKomprometterade validatornycklarLazarus utpekad, delvis ersatt
Euler20232 miljarder krSaknad hälsokontroll vid donationNästan allt återlämnat
Curve2023700 miljoner krFel i Vyper-kompilatornStora delar räddade

Bron Wormhole förlorade 120 000 ETH i februari 2022 sedan en angripare lyckats kringgå signaturkontrollen och prägla täckningslösa tokens, något Chainalysis kartlade i detalj. Förlusten täcktes kort därpå av handelsfirman Jump Crypto, som sköt till motsvarande summa för att hålla protokollet solvent. Bron Ronin, byggd för spelet Axie Infinity, tappade ännu mer sedan angriparen kommit över flera av validatorernas privata nycklar; amerikanska myndigheter kopplade dådet till den nordkoreanska gruppen Lazarus.

Alla incidenter är inte stölder. När en användare av misstag låste plånboksbiblioteket Parity 2017 frystes hundratusentals ETH för gott, utan att någon kom åt dem. Och kollapsen för Terra och dess stablecoin våren 2022 var ingen hackning alls, utan ett konstruktionsfel i den ekonomiska modellen. Genren rymmer alltså allt från ren kod till trasig incitamentsdesign, vilket är en del av varför rapporterna är så lärorika.

När angriparen lämnar tillbaka pengarna

En egenhet som sällan syns i andra branscher är att tjuven ibland lämnar tillbaka bytet. Efter attacken mot Euler i mars 2023, där omkring 2 miljarder kronor försvann, inledde teamet flera veckors förhandling på kedjan med angriparen. Resultatet blev att i princip alla medel återlämnades, en process som teamet sedan dokumenterade öppet. Liknande hände med Poly Network 2021, då en angripare förde bort motsvarande drygt 6 miljarder kronor och sedan skickade tillbaka nästan allt, varpå protokollet artigt började kalla personen för Mr White Hat.

Bakom detta ligger en hård logik. Stulna kryptotillgångar är ofta lätta att spåra men svåra att tvätta, och ett offentligt erbjudande om en dusör (en så kallad bug bounty) ger angriparen en väg ut utan åtal. Plattformen Immunefi, som förmedlar sådana belöningar, har betalat ut över en miljard kronor till etiska hackare. Ibland kapplöper white hats dessutom med angriparen i realtid och använder MEV-botar för att tömma sårbara pooler först och lämna tillbaka innehållet, precis som hände under attacken mot Curve.

Var rapporterna publiceras

Det finns ingen central plats för postmortems, vilket är både en styrka och en svaghet. En förstaversion kommer ofta som en tråd på X medan incidenten fortfarande pågår. Den tekniska genomgången publiceras sedan på utvecklarnas egna plattformar: en commit eller pull request på GitHub, ett inlägg på protokollets styrningsforum, eller ett dokument på tjänster som HackMD och Mirror. Efter Curve-attacken samlades till exempel analysen i en postmortem från Vyper-teamet som förklarade exakt hur kompilatorns skydd mot återinträde hade slutat fungera.

Parallellt har det vuxit fram oberoende analytiker och bevakningssajter som granskar, jämför och arkiverar incidenter. Företag som Chainalysis och Elliptic följer pengarna på kedjan och publicerar egna rapporter, vilket gör det svårt för ett team att skönmåla sin egen historia i efterhand. När en officiell postmortem och en oberoende analys pekar åt olika håll är det oftast den oberoende som får sista ordet.

Det regulatoriska lagret i Sverige

Länge var postmortems en intern angelägenhet mellan utvecklare. Det håller på att ändras i takt med att regelverket kommer ikapp. Genom EU:s förordning MiCA krävs numera tillstånd för att driva kryptoverksamhet, och i Sverige är det Finansinspektionen som prövar ansökningarna och utövar tillsyn över bolagen. För en aktör med tillstånd är en allvarlig incident inte längre bara en fråga om anseende, utan kan utlösa rapporteringskrav gentemot myndigheten.

Samtidigt är Finansinspektionen tydlig med att reglering inte gör krypto säkert. Myndigheten varnar för att tillgångarna ofta är svåra att värdera och att risken att förlora hela det investerade beloppet är hög, även efter MiCA. För en svensk läsare är det en nyttig påminnelse: en välskriven postmortem visar att ett team är skickligt och ärligt, men den är ingen garanti för att pengarna kommer tillbaka nästa gång.

Så läser du en postmortem kritiskt

Alla rapporter är inte lika ärliga. Några skrivs för att informera, andra för att lugna investerare. Här är några frågor som hjälper dig att skilja det ena från det andra.

  • Anges grundorsaken konkret, eller döljs den bakom vaga formuleringar?
  • Finns det länkar till transaktionerna på kedjan så att påståendena går att verifiera?
  • Tar teamet ansvar för egna brister, eller skylls allt på en anonym angripare?
  • Stämmer tidslinjen med vad oberoende analytiker rapporterat?
  • Är de utlovade åtgärderna mätbara, eller bara löften om att bli bättre?
  • Hade koden granskats, och i så fall varför fångades inte felet?

Om en rapport klarar de flesta av dessa frågor är den värd att läsa noga. Om den faller på flera av dem säger tystnaden ofta mer än orden.

Vad genren säger om kryptos mognad

Att en hel bransch normaliserat att publicera sina värsta dagar i detalj är ovanligt. Enligt Chainalysis stals kryptotillgångar för omkring 22 miljarder kronor under 2024, så behovet av att lära av misstagen är knappast överdrivet, och deras genomgång visar att samma typer av fel återkommer år efter år. Postmortemkulturen är branschens sätt att försöka bryta den cykeln genom att göra kunskapen kollektiv.

Genren är därför ett tecken på mognad, men också på hur ung tekniken fortfarande är. När en bransch behöver en egen litteratur om sina katastrofer betyder det att katastroferna är vanliga nog att kräva en. För läsaren är den goda nyheten att kunskapen ligger öppet och gratis. Nästa gång ett protokoll du använder hamnar i blåsväder är rapporten som följer ofta det bästa sättet att förstå vad som faktiskt hände, förutsatt att du läser den med kritiska ögon.

Av redaktionen på HOGE Wire. Texten är allmän bevakning och utgör inte finansiell rådgivning.

Share 𝕏 Post Telegram