“Det bliver sværere og sværere at bevise, at du faktisk er dig selv.” Den bemærkning, delt af Federico Variola, direktør for Phemex, indkapsler en voksende bekymring i hele krypto-branchen – en bekymring, der rækker langt ud over smart contracts eller fejl i infrastrukturen.
Under en paneldebat sammen med Ian Rogers, Chief Experience Officer hos Ledger, og Dmitry Budorin, medstifter og direktør for cybersikkerhedsfirmaet Hacken, forklarede Variola, hvordan trusler mod kryptosikkerhed viser sig i praksis. Kunstig intelligens ændrer værktøjerne, men det svage led er stadig mennesker – hvordan de taler sammen, træffer hurtige beslutninger og vælger, hvem de vil have tillid til.
Meget af det handler om hverdagsadfærd. På tværs af børser og wallets er der en fælles forståelse af, at rutiner former, hvordan hændelser opstår. For Federico Variola oversættes det direkte til, hvordan børser designer processer, indfører modstand og styrer, hvordan brugere interagerer med wallets, sociale platforme og on-chain identiteter.
Mere værdi, større mål
Tidligt i debatten tog Federico fat på et spørgsmål, som branchen stadig stiller sig selv: Bliver krypto dårligere til sikkerhed, eller bliver angriberne bare bedre?
“Man kan nok sige, at det her år er det værste år for cyberkriminalitet, og næste år bliver endnu værre. Og det er ikke, fordi vi bliver dårligere til sikkerhed. Det skyldes, at der er flere værdier. Når der er mere værdi, vokser præmien. Og når præmien bliver større, er der flere, der prøver at få fingrene i den.”
Efterhånden som krypto vokser, vokser også incitamentet for angribere. Variola siger, at det skaber en konstant ubalance, hvor angrebsmuligheder ofte udvikler sig hurtigere end beskyttelsen, især under bull-markeder.
“Vi er nok i en periode, hvor mulighederne udvikler sig hurtigere end beskyttelsen. Og under hvert bull-run, møder du helt rationelle mennesker, der fortæller dig, hvorfor du skal tage genveje med sikkerhed eller forvaltning, eller begge dele – og det ender altid det samme sted.”
Rogers havde et enkelt eksempel for at understrege pointen. Selv meget erfarne folk i krypto – inklusive dem, som arbejder med at udvikle wallets – er blevet snydt af overbevisende links, især på platforme som Discord eller browser-wallets. Hans pointe var, at erfaring hjælper, men det fjerner ikke behovet for at være opmærksom hele tiden.
Når identitet bliver det svage punkt
Ifølge Variola sker det største skift i måden, angreb udføres på.
“De her aktører har mange penge bag sig, nogle gange statsaktører, og de handler med en hastighed, der er svær at følge med. Samtidig er de værktøjer, vi alle bruger – som kunstig intelligens og automatisering – tveæggede sværd. Kan vi bruge værktøjerne, kan angriberne det også. Sociale angreb bliver mere avancerede. Folk har misbrugt mit ansigt i videoopkald for at forsøge at snyde investorer eller forretningspartnere.”
Ian Rogers var enig og nævnte fra hardware-wallet-vinklen, at mange angreb i dag handler mere om psykologi end om teknologi. For Variola stemmer det overens med, hvad børser oplever i praksis: Det er ofte lettere at narre personer end at bryde systemer.
Som Rogers sagde under panelet: “Enhver af os kan falde for det.” Selv blandt krypto-native teams er kombinationen af fortrolighed, hastværk og godt udførte sociale angreb ofte nok til at omgå ellers stærke sikkerhedsrutiner.
Børsens virkelighed: kolde, varme og menneskelige
Fra et børsperspektiv var Federico omhyggelig med at adskille garantier fra antagelser.
“Det, vi garanterer brugere, skal være helt urørligt, og det er cold-walleten. Det er ikke til diskussion. Hot-wallets indebærer altid en risiko, fordi de hele tiden er online.”
Under perioder med høj marked aktivitet forstærkes disse risici.
“Når der er bull-marked, forventer brugere, at hot-wallets er fulde. De handler hurtigt, ofte med store beløb, især i altcoins. Kravene fra brugerne er meget store.”
Det pres skaber spændinger. Brugerne vil have hurtighed og nem adgang. Sikkerhed kræver dog ofte modstand.
“Du er nødt til at tilføje lag af modstand for at holde værdier sikre, uanset hvad brugerne efterspørger. På en måde ender du med at skulle gå lidt imod dine egne brugeres ønsker.”
Det er en ubehagelig realitet for børser, men noget, Federico mener, er uundgåeligt, hvis platforme virkelig vil have langsigtet beskyttelse i stedet for blot hurtig tilfredsstillelse.
Hvad erfaring lærer dig
Under panelet nævnte Variola kort en sikkerhedshændelse, som Phemex oplevede sidste år.
“En af de største læringer for os var at indse, at vi var et større mål, end vi havde troet.”
Det vigtigste, de tog med fra hændelsen, handlede om mennesker.
“Vi undervurderede, hvor udbredte phishing- og social engineering-angreb er, og hvordan de først retter sig mod de laveste niveauer i organisationen: praktikanter, designere, folk der ikke opfatter sig selv som sikkerhedskritiske – og derefter arbejder sig op til vigtigere roller.”
Dmitry Budorin brugte en kontant analogi og sammenlignede phishing med fiskeri. Selv hvis fisken ikke er dum nok til at bide på plastik-agn, forklarede han, er rutiner eller distraktion ofte nok til, at angribere får succes. Ifølge ham er det uundgåelige det farlige.
Den tankegang passer tæt til den måde, Variola ser på sikkerhed.
“Det er ikke nok, at ingeniører eller topledelse er påpasselige. Hver eneste i organisationen skal forstå de risici, de står overfor. Selv den laveste praktikant skal være fuldt ud klar over situationen.”
Budorin gik videre og argumenterede for, at det ofte slet ikke er junior-ansatte, men direktøren, der er hovedmålet. Offentlige personer, stiftere og ledere bliver ofte angrebet direkte – netop på grund af deres synlighed og indflydelse i branchen.
Efter hændelsen øgede Phemex sikkerheden overalt, men den største forandring skete internt.
Sociale lag og finansielle lag blander sig ikke
“Krypto er en meget social branche. NFTs, sociale medier, Telegram – alle disse platforme skaber mål for angribere.”
Federico Variola var især kritisk over for, hvor uformelt følsomme interaktioner foregår i miljøer, der aldrig var skabt til sikkerhed.
“Telegram er især en af de dårligst drevne platforme, hvis man ser på sikkerhed, men det er standarden for, hvordan branchen kommunikerer.”
Han udtrykte også ubehag ved de stigende tendenser omkring wallet-tracking og offentlig navngivning.
“Jeg bryder mig ikke om trenden med at spore wallets til konkrete personer. Det føles meget anti-krypto. Men virkeligheden er, at jo større succes du har på området, jo større mål bliver du, og jo flere ressourcer skal du bruge på at beskytte dig selv.”
Decentralisering ændrer økonomien ved angreb
Kigger vi frem, ser Variola decentralisering og selvforvaltning som led i en bredere forandring i, hvordan kryptosikkerhed udvikler sig.
“Når decentralisering bliver mere almindeligt, fordeler vi ansvaret for sikkerhed over flere fejlmuligheder. Hackere bliver nødt til at ramme enkeltpersoner én for én i stedet for at finde det, de søger – nemlig ét sårbart punkt.”
Det fjerner ikke risikoen. Den bliver blot fordelt.
“DEX’er og decentrale platforme har deres egne udfordringer. Koden er loven. Du kan ikke stoppe en kæde. Der vil opstå nye risici. Men samlet set mener jeg, det er et positivt resultat for branchen.”
For børser betyder det tilpasning, ikke modstand.
“Centraliserede platforme forsvinder ikke, men vi må udvikle os. Sikkerhedsmodellen skal tilpasses i takt med, at brugeradfærden ændrer sig.”
Hvilken kryptovaluta vil stadig kæmpe om fem år
Kigger vi frem, ser Federico Variola ikke udfordringen som noget, krypto bare kan “løse” og lægge bag sig.
“Kunstig intelligens bliver den største udfordring,” sagde han. “Senere hen lægger kvantecomputere endnu et risiko-lag oveni.”
Da han blev spurgt, om AI hjælper forsvarere ligeså meget som angribere, var svaret klart: “Desværre tror jeg, det forstærker angribere mere, end det øger folks sikkerhed.”
Variola ser det som et modningsøjeblik for branchen. Krypto tiltrækker stærk teknisk talent, og sikkerhed bliver en del af, hvordan virksomheder driver og kommunikerer i dagligdagen. I systemer bygget til at minimere tillid, handler det nu om at forstå, hvor tillid stadig eksisterer, og forvalte den med omtanke.
