Den decentrale finans (DeFi) og kryptovaluta-sektoren
Den decentrale finans (DeFi) og kryptovaluta-sektoren står fortsat over for en massiv sikkerhedskrise, hvor hackere tømmer milliarder fra protokoller i alarmerende tempo. I blot første halvdel af 2025 nåede kryptoudnyttelser $2,1 milliarder, næsten svarende til alle tab i 2024, og satte branchen på vej til at bryde tidligere årlige rekorder. Alligevel, midt i dette kaos, dukker der en anden fortælling op. Bug bounty-programmer viser, at incitamentet til etiske hackere kan ændre økonomien i cybersikkerhed fundamentalt, hvilket gør forsvar mere rentabelt end angreb. Konceptet er simpelt, men revolutionerende: i stedet for at vente på, at ondsindede aktører udnytter sårbarheder, betaler protokoller white hat-hackere for at finde og rapportere fejl først.
Revolutionen i forsvar på $25 milliarder
DeFi-protokoller mistede over $1,4 milliarder til hacks i 2024, med store hændelser som $300 millioner DMM-udnyttelsen og $230 millioner WazirX-bruddet. Den største indtil videre skete for Bybit tidligere på året, hvor $1,4 milliarder blev helt udryddet.
Imidlertid viser Hackens rapport fra 2024 et fald på 40% i DeFi-tab sammenlignet med 2023, hvilket i høj grad tilskrives forbedrede sikkerhedsforanstaltninger, herunder mere robuste bug bounty-programmer. Effektiviteten af denne tilgang blev dramatisk demonstreret, da protokoller forhindrede massive tab gennem strategiske udbetalinger. Den største software-bounty i historien, $10 millioner betalt af Wormhole for en kritisk bro-sårbarhed, forhindrede sandsynligvis milliarder i potentielle skader. Immunefi, den førende Web3 bug bounty-platform, sidder i centrum af denne transformation. Virksomheden har faciliteret over $120 millioner i bounty-udbetalinger, mens den hævder at have forhindret mere end $25 milliarder i potentielle hacks på tværs af 500+ protokoller.
Interview med Mitchell Amador
Vi talte med Mitchell Amador, grundlægger og CEO af Immunefi, om hvordan bug bounties gør kryptovaluta mere sikker, hvorfor traditionelle sikkerhedsmetoder fejler i Web3’s open-source-miljø, og hvad fremtiden bringer for denne kritiske forsvarslinje mod stadig mere sofistikerede trusler. Her er hvad han mener:
At vende økonomien i cybersikkerhed
Cryptonews: Du har fundamentalt vendt økonomien i cybersikkerhed ved at gøre forsvar mere rentabelt end angreb. Kan du tage os igennem et specifikt tilfælde, hvor dette forhindrede en stor udnyttelse, og hvad den traditionelle sikkerhedsmetode ville have overset?
Mitchell Amador: “I 2022 rapporterede en white hat en kritisk fejl i Wormhole core bridge-kontrakten på Ethereum. Denne fejl var en opgraderbar proxy-implementering med en selv-destruktionsfejl, der kunne have ført til en potentiel låsning af brugerens midler. De offentliggjorde det via Wormholes bug bounty-program, der blev hostet af Immunefi, og vi faciliterede en udbetaling på $10 millioner uden tab af brugerens midler. Dette er den største software-bounty nogensinde – et livsændrende beløb, der fungerer som et incitament for hackere til ansvarligt at offentliggøre sårbarheder i stedet for at udnytte dem. Det er en lille pris at betale, når man sammenligner det med de milliarder af midler, der kunne være gået tabt, hvis en black hat havde fundet fejlen. Traditionelle revisioner, statiske og før lancering, overser post-implementeringssårbarheder i dynamiske DeFi-systemer. Vores kontinuerlige bug bounties efterligner black hat-taktikker etisk og fanger, hvad revisioner ikke gør eller kan.”
CN: Med $25 milliarder i potentielle hacks forhindret, hvad er den største enkeltstående sårbarhed, din platform har fanget, og hvad ville konsekvenserne have været, hvis den var blevet udnyttet?
Amador: “Den nævnte $10 millioner Wormhole-sårbarhed var vores største. Den kunne have muliggjort milliarder i cross-chain tyveri, ødelagt brugernes aktiver, udhulet tilliden til broer, presset tokenpriserne ned og bremset DeFi-adoptionen. Vores bounty sikrede, at en patch hurtigt blev implementeret for at bevare økosystemets stabilitet.”
Den systemiske indvirkning ville have været ødelæggende ud over blot det umiddelbare økonomiske tab. Wormhole behandler milliarder i cross-chain-transaktioner og fungerer som kritisk infrastruktur, der forbinder store blockchains som Ethereum, Solana og BSC. En vellykket udnyttelse kunne have udløst en kaskade af likvidationer på tværs af DeFi-protokoller, der er afhængige af cross-chain aktiver, hvilket potentielt destabiliserer hele økosystemet.
Web3’s unikke sikkerhedsudfordringer
CN: Du nævnte, at traditionel cybersikkerhed fejler i Web3’s open-source verden. Hvad er de 2-3 mest kritiske blinde pletter, som virksomhedens sikkerhedsteams har, når de forsøger at sikre DeFi-protokoller?
Amador: Komponibilitetsaspektet er særligt kritisk og ofte overset. I traditionel finansiering er systemer stort set siloerede, men DeFi-protokoller er designet til at interagere med hinanden som Lego-klodser. Dette skaber eksponentiel kompleksitet, hvor en sårbarhed i en protokol kan kaskade gennem et helt økosystem. Nyeste data fra Halborns analyse viser, at off-chain angreb stod for 80,5% af de stjålne midler i 2024. Alligevel fokuserer mange sikkerhedsteams stadig primært på smart contract-kode snarere end det bredere angrebsoverflade.
Incitamentmisforholdet er ligeledes problematisk. Traditionel virksomhedssikkerhed antager, at angribere er opportunistiske og begrænsede i ressourcer. I DeFi betyder blockchainens gennemsigtige natur, at angribere kan se præcist, hvor meget værdi der er på spil, og den pseudonyme karakter betyder, at der er færre konsekvenser for mislykkede forsøg.
CN: Hvilke sikkerhedsforanstaltninger implementerer store stablecoins ikke, som holder dig vågen om natten, og hvorfor vedtager de ikke disse foranstaltninger?
Amador: “Stablecoins springer ofte kontinuerlig overvågning og robuste bounties over. De er afhængige af engangsrevisioner, hvilket risikerer systemiske udnyttelser, og tilbyder lave udbetalinger, der ikke tiltrækker top white hats. Omkostningsbekymringer, fokus på hurtig implementering og undervurdering af angrebsincitamenter er de vigtigste faktorer, der bidrager til dette hul.”
Dette er særligt bekymrende givet stablecoins massive vækst i adoption over de seneste måneder. Et vellykket angreb på en stor stablecoin ville ikke kun påvirke den protokol; det ville true stabiliteten af hele økosystemet. Ironisk nok har udstederne af stablecoins ofte ressourcerne til at implementere omfattende sikkerhedsforanstaltninger, men vælger ikke at investere tilstrækkeligt, fordi de ser sikkerhed som et omkostningscenter snarere end kritisk infrastruktur.
Den menneskelige side af hackerforhandlinger
CN: Når du personligt forhandler med hackere, der har fundet kritiske sårbarheder, hvordan er den samtale egentlig? Hvordan balancerer du hastighed med at opbygge tillid?
Amador: “At stole på en hackers ændring af hjerte er ikke en levedygtig strategi for protokolsikkerhed. De fleste hackere i dag indser, at det at beholde stjålet kryptovaluta er mere besvær, end det er værd. Og det skyldes bedre on-chain retsmedicinske undersøgelser og de meget reelle omdømme- og juridiske risici ved at holde markerede midler. Det er langt lettere for en angriber at forhandle stille og roligt og komme videre, snarere end at kæmpe mod konstant granskning eller blive fokus for retshåndhævelse. Men lad ikke misforstå, dette er ikke et typisk resultat.”
Virkeligheden er, at forhandlinger efter udnyttelse er en sidste udvej, ikke en sikkerhedsstrategi. Hvad DeFi måske har brug for, er et system, hvor de mest dygtige sikkerhedsforskere aldrig bliver angribere i første omgang, fordi de har set etisk offentliggørelse som mere økonomisk attraktivt end udnyttelse.
Talentmigration og sikkerhedsevolution
CN: Du ser top sikkerhedstalenter forlade traditionel teknologi for kryptovaluta. Hvad driver denne eksodus, og hvordan ændrer det færdighedsprofilen for sikkerhedsprofessionelle?
Amador: “Talent bevæger sig i søgen efter tillid og gennemsigtighed, der er iboende i Web3-systemer, økonomiske incitamenter (som vores $10M for Wormhole) og anerkendelse fra fællesskabet. Sikkerhedstalenter er decentraliserede, blockchain-kloge og økonomisk bevidste, og danner samarbejdende “sværme” i kontrast til Web2’s siloede roller.”
De økonomiske incitamenter er virkelig transformative for sikkerhedsforskere. Google udbetalte $11,8 millioner til 660 forskere i 2024 gennem deres bug bounty-programmer, men det er intet i forhold til, hvad top Web3-forskere kan tjene. Individuelle udbetalinger i kryptovaluta kan nå seks eller syv cifre for kritiske sårbarheder, sammenlignet med traditionelle bug bounties, der typisk maksimalt når op på titusinder.
CN: Kan du forklare “sikkerhedssværme” og hvordan automatiserede forsvarsnetværk kan ændre kat-og-mus-spillet mellem angribere og forsvarere?
Amador: “Security Swarm er automatiseringsmotoren inden for Immunefis Magnus-platform, som driver SecOps-automatiseringer, der autonomt opdager og afbøder trusler, alt imens de minimerer overhead og holder øje med infrastrukturen 24/7. Traditionelt har angribere haft fordel af hastighed. De kan slå til på sekunder, mens menneskelige forsvarere har brug for minutter eller timer til at koordinere et svar. Med automatisering kan opdagelse og afbødning ske næsten øjeblikkeligt, hvilket reducerer angrebsvinduet fra timer til sekunder og skifter balancen mod forsvarerne.”
Hastighedsfordelen har altid favoriseret angribere i DeFi, fordi transaktioner er irreversible og sker med blockchainens hastighed. Et vellykket flash-låneangreb kan tømme en protokol i en enkelt transaktion, der tager 12 sekunder at bekræfte. Traditionelle tidslinjer for hændelsesrespons, målt i timer eller dage, er utilstrækkelige for denne trusselmodel. Automatiserede forsvarssystemer, som den der blev frigivet af TRMLabs i går, kan opdage unormal adfærd og udløse circuit breakers hurtigere end noget menneskeligt responsteam.
Fremvoksende trusler og juridiske rammer
CN: Når du ser på de protokoller, du beskytter, hvad er en fremvoksende angrebsvektor, som de fleste mennesker endnu ikke taler om, men som de bør forberede sig på?
Amador: “Oracle-manipulation er underdiskuteret. Angribere kan udnytte svage datafeeds til at narre kontrakter, tømme midler eller destabilisere stablecoins. Protokoller har brug for multi-oracle redundans og målrettede bounties, men mange overser dette kritiske enkeltpunkt for svigt.”
Oracle-manipulationsangreb udnytter en grundlæggende svaghed i, hvordan DeFi-protokoller modtager eksterne data. Oracles er tredjeparts tjenester, der leverer virkelige oplysninger, såsom aktivpriser, vejrinformation eller sportsresultater, til smart contracts, der ikke kan få adgang til disse data direkte. I kryptovaluta er pris-oracles kritiske, fordi de fortæller DeFi-protokoller, hvad Bitcoin, Ethereum eller andre tokens er værd på ethvert givet tidspunkt, hvilket muliggør alt fra låneberegninger til automatiseret handel.
Angribere udnytter denne afhængighed ved at manipulere de data, som oracles leverer. De kan kunstigt hæve eller sænke aktivpriserne gennem store handler på lav-likviditets børser, som oracles refererer til, eller kompromittere oracle-infrastrukturen selv. Når en protokol modtager falske prisdata, kan den blive narret til handlinger som at godkende lån mod værdiløse sikkerheder eller udføre handler til manipulerede priser.
Disse angreb er særligt ødelæggende, fordi de målretter protokollens “syn” af virkeligheden snarere end selve koden, hvilket gør dem sværere at opdage og forhindre gennem traditionelle sikkerhedsrevisioner.
CN: Dit nye juridisk bindende voldgiftssystem for sikkerhedsdisputter er fascinerende. Hvordan fungerer dette, når kode-sårbarheder bliver spørgsmål om international lov, og hvilke præcedenser sætter du?
Amador: “Vores on-chain voldgift løser tvister gennemsigtigt, medierende alvorlighed eller udbetalingskonflikter. Det er juridisk bindende, undgår langsomme domstole og fungerer globalt via smart contracts. Vi sætter præcedenser for retfærdig, decentraliseret tvistløsning, der er anvendelig for ethvert open-source økosystem.”
Etik og fremtidig evolution
CN: Med over $180 milliarder i digitale aktiver under beskyttelse på tværs af 500+ protokoller, hvordan påvirker din model, hvordan andre industrier tænker på at incentivisere sikkerhedsforskning?
Amador: “Vores over $120 millioner i udbetalinger beviser, at økonomiske incitamenter virker. Finans og sundhedspleje adopterer også crowdsourced sikkerhed, inspireret af vores voldgift og proaktive model, der behandler sikkerhed som infrastruktur snarere end en omkostning.”
CN: Om fem år, hvordan ser du forholdet mellem hackere, virksomheder og sikkerhed udvikle sig ud over blot bug bounties?
Amador: “Virksomheder vil prioritere økonomiske incitamenter og samarbejde med hackere som partnere. On-chain voldgift vil sætte governance-normer, hvilket gør sikkerhed kontinuerlig og samarbejdende på tværs af industrier.”
Fremadskuende bevæger fremtiden sig mod en model, hvor sikkerhedsforskere bliver integrerede partnere i udviklingsprocessen snarere end eksterne revisorer. Denne samarbejdende tilgang vil muliggøre ordentlige økonomiske incitamenter og gennemsigtige governance-mekanismer og kan i sidste ende blive standarden for enhver kryptovalutaorganisation, der ønsker at sikre sin platform.
