”Det blir svårare och svårare att visa att du verkligen är dig själv.” Den tanken kommer från Federico Variola, vd på Phemex, och visar på en växande oro i kryptobranschen – som handlar om mer än smarta kontrakt eller tekniska fel.
Under en paneldiskussion med Ian Rogers, Chief Experience Officer på Ledger, och Dmitry Budorin, medgrundare och vd på cybersäkerhetsföretaget Hacken, förklarade Variola hur hot mot kryptosäkerheten visar sig i verkligheten. AI förändrar verktygen, men svagheten är ändå människor – hur de pratar, tar snabba beslut och avgör vem de litar på.
Det handlar mycket om vanliga beteenden. På kryptobörser och i plånböcker vet de att rutiner formar hur incidenter sker. För Federico Variola påverkar det direkt hur börser bygger processer, skapar hinder och hanterar hur människor använder plånböcker, sociala plattformar och kedjeidentiteter.
Mer värde, större mål
Tidigt i diskussionen tog Federico upp frågan som industrin ofta diskuterar: blir krypto sämre på säkerhet, eller blir angriparna bättre?
”Man kan nog säga att i år är det värsta året för cyberbrott, och nästa år blir ännu värre. Men det handlar inte om att vi blir sämre på säkerhet. Det handlar om att det finns mer värde. När det finns mer värde blir vinsten större. När vinsten blir större försöker fler att ta den.”
När krypto växer ökar också incitamenten för angripare. Variola säger att det här skapar en ständig obalans där kapaciteter för attack ofta växer snabbare än skydden, särskilt under haussemarknader.
”Vi är nog i en period där kapaciteter växer snabbare än skydd. Vid varje skenande marknad förklarar förnuftiga personer varför man ska ta genvägar kring säkerhet, egen förvaring eller båda, och det slutar alltid på samma sätt.”
Rogers tog ett enkelt exempel. Även mycket erfarna personer i krypto, inklusive de som utvecklar plånböcker, har blivit lurade via trovärdiga länkar på plattformar som Discord eller webbläsarplånböcker. Han menade att erfarenhet hjälper, men tar inte bort behovet av att alltid vara noggrann.
När identiteten blir den svaga punkten
Variola ser den största förändringen i hur attacker utförs.
”De här aktörerna har gott om pengar, ibland är det statliga aktörer, och de agerar i en takt som är svår att hinna ikapp. Samtidigt är verktygen vi använder, som AI och automation, dubbelsidiga. Om vi kan använda dem kan angriparna också det. Sociala attacker blir mer avancerade. Folk har använt min identitet och försökt lura investerare eller affärspartners på videosamtal.”
Ian Rogers höll med, från hårdvaruplånboksperspektiv, och sa att många attacker idag handlar mer om psykologi än teknik. För Variola stämmer det med vad börser ofta ser: det är ofta lättare att lura människor än att bryta systemen.
Rogers sa också på panelen: ”Vem som helst av oss kan gå på det.” Till och med hos krypto-team händer det att vana, tidspress och skicklig påverkan gör att man missar sin vanliga säkerhetsnivå.
Växlingsverkligheten: kall, varm och mänsklig
Som börs är det viktigt, tycker Federico, att skilja på garantier och antaganden.
”Det vi garanterar för användarna måste vara helt orubbligt, och det är kallplånboken. Där finns inget att förhandla om. Varmplånböcker är alltid en risk eftersom de är online.”
Under perioder med stor marknadsaktivitet blir de riskerna större.
”Vid haussemarknad vill användarna att varmplånböcker ska vara fulla. De agerar snabbt, ofta med stora belopp, särskilt i altcoins. Användarnas krav är väldigt starka.”
Den pressen skapar motsättningar. Användare vill ha snabbhet och enkelhet. Men säkerhet kräver ofta hinder.
”Du måste lägga till lager av hinder för att skydda tillgångar, oavsett vad användarna vill. På ett sätt måste du ibland säga emot de egna användarna.”
Detta är ett faktum som är jobbigt för börser, men Federico menar att det är nödvändigt om man vill ha långsiktigt skydd och inte bara nöjda användare för stunden.
Vad erfarenhet lär dig
Variola nämnde kort under panelen en säkerhetsincident som Phemex drabbades av förra året.
”En av de största lärdomarna för oss var att vi var större mål än vi trodde.”
Det viktigaste att lära sig handlade om människor.
”Vi underskattade hur utbredda phishing och social engineering-attacker är, och hur de ofta riktar sig mot de lägsta nivåerna först – praktikanter, designers, personer som inte tror att de är viktiga för säkerheten – och sedan går vidare till viktigare roller.”
Dmitry Budorin jämförde hur dessa attacker fungerar med fiske. Även om fisken inte nappar på plastbetet är det ofta lätt för angripare att lyckas när man är ouppmärksam eller distraherad. Enligt honom är det oundvikligheten som är farlig.
Det tänkesättet passar Variolas syn på säkerhet.
”Det räcker inte att bara utvecklare eller chefer är försiktiga. Alla i organisationen måste förstå vilka risker de har utsatts för. Till och med den yngsta praktikanten behöver känna till hela situationen.”
Budorin gick vidare och sa att ofta är det inte juniorerna som är huvudmål, utan vd:n. Offentliga personer, grundare och chefer utsätts ofta direkt, just på grund av sin roll och synlighet i branschen.
Efter incidenten ökade Phemex sin säkerhet på alla nivåer, men den största förändringen skedde internt.
Sociala lager och finansiella lager hör inte ihop
“Krypto är en mycket social bransch. NFT:er, sociala medier, Telegram – alla dessa plattformar gör att angripare kan hitta mål.”
Federico Variola var särskilt kritisk till hur känsliga samtal sker så lättvindigt på platser som aldrig var menade för säkerhet.
“Telegram är särskilt en av de sämsta plattformarna när det gäller säkerhet, men den används ändå som standard i branschen.”
Han uttryckte också oro över ökande trender kring spårning av plånböcker och offentlig koppling till personer.
“Jag tycker inte om trenden att koppla plånböcker till vissa personer. Det känns väldigt anti-krypto. Men verkligheten är att ju mer framgångsrik du är i branschen, desto större mål blir du, och desto mer resurser behöver du lägga på att skydda dig själv.”
Decentralisering förändrar ekonomin kring attacker
Variola ser framöver decentralisering och egen förvaring som en del av en större förändring av kryptosäkerhet.
“När decentralisering blir vanligare sprider vi ut bördan av säkerhet över fler möjliga svaga punkter. Hackare måste då attackera personer en och en istället för att hitta en enda svag punkt.”
Det tar inte bort risken. Det flyttar bara risken.
“DEX:ar och decentraliserade plattformar har egna utmaningar. Kod är lag. Du kan inte stoppa en kedja. Det finns nya risker. Men totalt sett tycker jag att det här är positivt för branschen.”
Börser behöver istället anpassa sig, inte kämpa emot förändring.
“Centraliserade plattformar försvinner inte, men vi måste utvecklas. Säkerhetsmodellen måste förändras tillsammans med användarnas beteende.”
Vilka kryptovalutor kämpar fortfarande om fem år
Variola ser inte utmaningen som något krypto enkelt kan “lösa” och lämna bakom sig.
“AI kommer att bli den största utmaningen,” sa han. “Längre fram ökar kvantdatorer risken ännu mer.”
När någon frågade om AI hjälper försvarare lika mycket som angripare, gav han ett tydligt svar: “Tyvärr tror jag att det hjälper angripare mer än det gör folk säkra.”
Variola ser detta som ett tecken på att branschen mognar. Krypto lockar stark teknisk kompetens, och säkerhet blir nu en del av hur företag arbetar och kommunicerar varje dag. I system som byggs för att minska behovet av förtroende, blir det allt viktigare att förstå var förtroende ändå behövs och hantera det på ett klokt sätt.
