“Det blir stadig vanskeligere å bevise at du faktisk er deg.” Denne observasjonen, delt av Federico Variola, CEO i Phemex, fanger en voksende bekymring i hele kryptoindustrien – en som går langt utover smarte kontrakter eller infrastrukturfeil.
Under en paneldebatt nylig, sammen med Ian Rogers, Chief Experience Officer i Ledger, og Dmitry Budorin, medgründer og CEO for cybersikkerhetsselskapet Hacken, forklarte Variola hvordan kryptosikkerhetstrusler viser seg i praksis. AI endrer verktøyene, men det svake punktet er fortsatt mennesker – hvordan de snakker sammen, tar raske avgjørelser og bestemmer hvem de skal stole på.
Mye av dette handler om hverdagsatferd. På tvers av børser og lommebøker er det en felles forståelse av at rutiner former hvordan hendelser skjer. For Federico Variola handler dette direkte om hvordan børser utformer prosesser, innfører friksjon og styrer hvordan folk samhandler med lommebøker, sosiale plattformer og on-chain-identiteter.
Mer verdi, større mål
Tidlig i diskusjonen tok Federico opp et spørsmål bransjen stadig stiller seg: Blir krypto dårligere på sikkerhet, eller blir angriperne rett og slett dyktigere?
“Du kan nok si at dette året er det verste året for nettkriminalitet, og neste år blir enda verre. Og det er ikke fordi vi blir dårligere på sikkerhet. Det er fordi det er mer verdi. Når det finnes mer verdi, blir premien høyere. Og når premien vokser, blir det flere som prøver å hente ut den verdien.”
Etter hvert som krypto vokser, gjør også insentivene for angripere det. Variola sier at dette skaper en konstant ubalanse, der angrep ofte utvikler seg raskere enn beskyttelsen, særlig i bull-markeder.
“Vi er sannsynligvis i en mellomperiode der mulighetene vokser raskere enn beskyttelsen. Og under hver bull-marked har du veldig rasjonelle folk som forklarer hvorfor du bør ta snarveier på sikkerhet, eller selvoppbevaring, eller på begge deler, og det ender alltid på samme sted.”
Rogers delte et enkelt eksempel for å underbygge poenget. Selv svært erfarne personer i krypto, inkludert de som jobber tett med lommebokutvikling, har blitt lurt av overbevisende lenker delt via plattformer som Discord eller nettleserlommebøker. Hans poeng var at erfaring hjelper, men fjerner ikke behovet for konstant årvåkenhet.
Når identitet blir det svake punktet
Der Variola ser den største endringen, er i hvordan angrep utføres.
“Disse aktørene er godt finansiert, noen ganger også statlige, og de beveger seg i et tempo som er svært vanskelig å holde tritt med. Samtidig er verktøyene vi alle bruker, som AI og automatisering, tveeggede sverd. Hvis vi kan bruke disse verktøyene, kan angriperne også det. Sosiale angrep blir mer komplekse. Folk har brukt mitt bilde og brukt det i videosamtaler for å prøve å lure investorer eller forretningspartnere.”
Ian Rogers støttet dette fra et hardware-lommebokperspektiv, og påpekte at mange angrep i dag handler mer om psykologi enn teknologi. For Variola stemmer dette med hva børser ser i praksis: Å overbevise folk er ofte lettere enn å bryte systemer.
Som Rogers sa under panelet: “Hvem som helst av oss kunne gått på det.” Selv i krypto-native team er kombinasjonen av kjennskap, tidspress og godt planlagt sosial manipulering ofte nok til å komme forbi ellers sterke sikkerhetsrutiner.
Børsens virkelighet: Cold, hot og Human
Fra et børsståsted var Federico nøye med å skille mellom garantier og antakelser.
“Det vi garanterer brukerne våre må være helt urørlig, og det er kald-lommebok. Det er ikke forhandlingsbart. Hot-lommebøker, per definisjon, innebærer en iboende risiko fordi de alltid er på nett.”
I perioder med høy markedsaktivitet øker disse risikoene.
“Når det er bull-marked, forventer brukere at hot-lommebøker er fulle. De beveger seg raskt, ofte med store beløp, særlig i altcoins. Kravene fra brukerne er svært pressende.”
Dette presset skaper spenning. Brukerne vil ha fart og bekvemmelighet. Sikkerhet krever imidlertid ofte friksjon.
“Du må legge til lag med friksjon for å holde midlene trygge, uansett hva brukerne ber om. På et vis ender du opp med å måtte motarbeide dine egne brukere litt.”
Det er en ubehagelig realitet for børser, men en Federico mener er uunngåelig dersom plattformene mener alvor med langsiktig beskyttelse fremfor kortvarig tilfredsstillelse.
Hva erfaring lærer deg
Under panelet nevnte Variola kort en sikkerhetshendelse Phemex opplevde i fjor.
“En av de største lærdommene for oss var å innse at vi var et større mål enn vi trodde.”
Den viktigste lærdommen handlet om mennesker.
“Vi undervurderte hvor utbredt phishing og sosial manipulering er, og hvordan disse angrepene først retter seg mot de laveste nivåene i strukturen din: praktikanter, designere, folk som ikke ser på seg selv som sikkerhetskritiske, og så jobber de seg opp til mer sentrale roller.”
Dmitry Budorin brukte en slående analogi for hvordan disse angrepene fungerer, og sammenlignet phishing med fisking. Selv om fisken ikke er dum nok til å bite på plastagn, forklarte han, er det ofte nok med et øyeblikks rutine eller distraksjon for at angriperne skal lykkes. Ifølge ham er det uunngåelige den største faren.
Den tankemåten samsvarer nært med hvordan Variola tilnærmer seg sikkerhet.
“Det er ikke nok at utviklere eller ledelsen er forsiktige. Hver eneste person i organisasjonen må forstå risikoen de utsettes for. Selv den yngste praktikanten må være fullt klar over situasjonen.”
Budorin gikk enda lenger, og mente at det i mange tilfeller slett ikke er de yngste ansatte som er hovedmålet, men CEO. Offentlige personer, gründere og ledere blir ofte angrepet direkte, nettopp på grunn av deres synlighet og autoritet i bransjen.
Etter hendelsen økte Phemex sikkerheten på alle plan, men den største endringen skjedde internt.
Sosiale lag og finansielle lag passer ikke sammen
«Krypto er en svært sosial bransje. NFT-er, sosiale medier, Telegram – alle disse plattformene blir mål for angripere.»
Federico Variola var spesielt kritisk til hvor lett sensitive interaksjoner skjer i miljøer som aldri var ment for sikkerhet.
«Telegram er spesielt en av de dårligst drevne plattformene når det gjelder sikkerhet, men den er standard for hvordan bransjen kommuniserer.»
Han ga også uttrykk for uro over økende trender rundt sporing av lommebøker og offentlig attributtering.
«Jeg liker ikke denne trenden med å knytte lommebøker til bestemte personer. Det føles veldig anti-krypto. Men realiteten er at jo mer suksess du har i denne bransjen, desto større mål blir du, og desto flere ressurser må du bruke på å beskytte deg selv.»
Desentralisering endrer økonomien bak angrep
Fremover ser Variola på desentralisering og kontroll over egne midler som del av en større endring i hvordan kryptosikkerhet vil utvikle seg.
«Når desentralisering blir mer vanlig, fordeler vi ansvaret for sikkerhet på flere feilpunkter. Hackere må rette seg mot enkeltpersoner én etter én, i stedet for å finne det svake punktet – et enkelt feilpunkt.»
Det eliminerer ikke risiko. Det omfordeler den.
«DEX-er og desentraliserte plattformer har sine egne utfordringer. Kode er lov. Du kan ikke stanse en kjede. Det vil komme nye risikoer. Men alt i alt mener jeg dette er positivt for bransjen.»
For børser betyr det tilpasning, ikke motstand.
«Sentraliserte plattformer vil ikke forsvinne, men vi må utvikle oss. Sikkerhetsmodellen må endres sammen med brukeratferden.»
Hvilke kryptovalutaer vil fortsatt kjempe om fem år
Fremover mener Federico Variola at utfordringen ikke er noe krypto bare vil «løse» og legge bak seg.
«AI blir den største utfordringen,» sa han. «Lengre frem i tid legger kvantecomputing til et nytt risikolag.»
På spørsmål om AI styrker forsvarere like mye som angripere, var svaret hans tydelig: «Dessverre tror jeg det styrker angripere mer enn det gjør folk sikre.»
Variola ser dette som et modningstidspunkt for bransjen. Krypto tiltrekker høyt teknisk talent, og sikkerhet blir nå en naturlig del av hvordan selskaper opererer og kommuniserer i det daglige. I systemer bygget for å redusere tillit, vendes nå blikket mot å forstå hvor tillit fortsatt eksisterer og håndtere dette bevisst.
