Självförvaring av krypto har kostat miljarder – men det kan göras säkert

Självförvaring av kryptovalutor, det vill säga möjligheten att själv kontrollera sina tillgångar utan mellanhänder som banker eller myndigheter, har länge setts som blockteknikens främsta innovation. Samtidigt är det också den största enskilda orsaken till de stölder som allt oftare drabbar branschen.

Förluster på 8,5 miljarder dollar på tio år

Enligt data från DefiLlama står intrång i privata nycklar – som ger tillgång till kryptoplånböcker – för förluster på nära 8,5 miljarder dollar. Det motsvarar nästan hälften av alla hack som genomförts under det senaste decenniet. Siffran väcker frågor inte bara om självförvaringens framtid, utan också om hela den 2,7 biljoner dollar stora kryptobranschen.

Trots riskerna kan självförvaring göras säkert, enligt David Schwed, COO på SVRN och tidigare ledare för digitala tillgångar på BNY Mellon. Problemet ligger snarare i bristande prioriteringar och resurser.

Varför prioriteras inte säkerheten?

Många kryptoprojekt drivs med knappa budgetar och pressas av investerare att snabbt lansera sina produkter. Schwed förklarar att utvecklare ofta uppmuntras att bygga snabbt och effektivt, snarare än att implementera robusta säkerhetslösningar.

– Projekten behöver anställa erfarna säkerhetschefer och ge dem mandat att bygga upp ordentliga säkerhetssystem, säger Schwed. Om man gör det, kan man absolut skapa en säker självförvaringslösning.

Två stora hack under de senaste veckorna

Kryptobranschen har skakats av två uppmärksammade hack under senare tid. Nordkoreanska hackare stal sammanlagt 579 miljoner dollar från decentraliserade finansprojekt som Drift och Kelp DAO. Händelserna har skapat en kris av förtroende för DeFi (Decentralized Finance).

Till skillnad från tidigare hack, som ofta berodde på svagheter i kod eller system, utnyttjade angriparna istället brister i projektens interna säkerhet eller beroenden till externa tjänster.

• Drift: Hackarna kom åt projektets interna system genom att lura medarbetare att ladda ner skadlig programvara efter en långvarig social engineering-kampanj.
• Kelp DAO: Angriparna kom åt infrastrukturleverantörer i LayerZero’s decentraliserade verifieringsnätverk, som projektet var beroende av för att avgöra vem som skulle få tillgång till medlen.

Utmaningar för säkerheten i kryptobranschen

Schwed pekar på flera strukturella problem som försvårar säkerhetsarbetet:

• Tidspress från investerare: Tidiga kryptoprojekt pressas ofta att snabbt lansera och nå marknaden för att säkra sin position. Aave, som idag är det största DeFi-låneprotokollet, startade som ETHLend 2017. Uniswap, den största decentraliserade börsen, var bland de första att lansera redan 2018.
• Höga kostnader: Att anställa en kompetent säkerhetschef och ett team på minst tre till fem personer är en stor ekonomisk belastning, även för välfinansierade projekt.
• Kultur i startups: Många kryptoföretag präglas av en kultur där snabb utveckling prioriteras framför säkerhet. En erfaren säkerhetschef skulle sannolikt införa så många kontrollmekanismer att utvecklarna skulle uppleva det som hämmande.

Vägen framåt: Säker självförvaring är möjlig

Trots utmaningarna menar experter att säker självförvaring är fullt möjlig – om rätt resurser och prioriteringar sätts in. Schwed betonar att det krävs en förändrad inställning från både utvecklare och investerare.

– Säkerhet måste integreras från början, inte läggas till i efterhand, säger han. Det handlar om att förstå att långsiktig framgång bygger på tillit – och tillit kräver säkerhet.