Der Memecoin Safemoon hat seit seiner Veröffentlichung schon mehrere parabolische Rallyes sowie massive Kurseinbrüche erlebt. Mit einem marketingwirksamen Namen und einer kreativen Token-Ökonomie versucht Safemoon an den Erfolg des Memecoins Dogecoin anzuknüpfen. Was ihm auch – zumindest teilweise – gelungen ist. Mit einer Marktkapitalisierung von rund 2,6 Milliarden US-Dollar rangiert der erst Anfang März lancierte Altcoin auf Rang 49 der kapitalstärksten Kryptonetzwerke. Auch wenn Safemoon sich wieder deutlich von seinem am 11. März aufgestellten Kursrekord entfernt hat, handelt der Token zu Redaktionsschluss mit 0.00001094 Dollar noch immer knapp 10.000 Prozent über seinem All-Time-Low vom 14. März. Ein Smart-Contract-Audit der Defi-Sicherheitsfirma Hash-Ex hat nun einige teils gravierende Sicherheitsmängel in Smart Contracts von Safemoon ermittelt.

Ganze zwölf Schwachstellen von unterschiedlichem Bedrohungspotenzial präsentiert Hash-Ex in seinem Abschlussbericht zum Audit der Safemoon-Smart-Contracts. Zwei der Sicherheitslücken stuft Hash-Ex dabei als „kritisch“ ein, zwei erhalten das Prädikat „hoch unsicher“. Die restlichen acht Schwachstellen sind von „mittlerer“ bis „niedriger“ Gefahr. Die aufgedeckten Sicherheitslücken können es Angreifern unter anderem ermöglichen, Provisionen für SAFEMOON-Token auf bis zu 100 Prozent festzulegen und Token-Transfers vorübergehend zu blockieren. Letzteres hat seinen Grund in dem Umstand, dass der Smart Contract für den SAFEMOON-Token einer einzelnen externen Entität zugeordnet ist.

„Zum Zeitpunkt der Prüfung ist der Eigentümer des Token-Kontrakts auf ein EOA-Konto (externes Konto) festgelegt, was hohe Risiken für Token-Inhaber mit sich bringt, da ein Angreifer bei einer Kompromittierung des Eigentümer-Kontos die Token-Funktionalität vollständig unterbrechen kann (zum Beispiel durch Blockieren jeglicher Überweisungen).“

Anders gesagt: Safemoon-Holder müssen blind darauf vertrauen, dass der Eigentümer des Smart Contracts ehrlich ist und/oder seinen Zugriff auf den Smart Contract vor böswilligen Dritten schützt.

Eine weitere Schwachstelle sieht Hash-Ex in der Funktion „Renounce Ownership“ des Safemoon-Smart-Contracts. Die Funktion dient dem Ersteller eines Smart Contracts normalerweise dazu, den Zugriff auf den Smart Contract an einen anderen Besitzer beziehungsweise die Community zu übergeben. Bei Safemoon lässt sich laut Hash-Ex nicht ermitteln, ob der Besitzer eines Smart Contracts seine Inhaberschaft für immer oder nur temporär abgegeben hat. Dadurch entsteht eine Backdoor, vor der Mitte März bereits ein Reddit-Nutzer gewarnt hat.

Die Möglichkeit eines Rug Pulls besteht damit für Safemoon, solange die Funds maßgeblich von einer einzelnen Wallet kontrolliert werden. Safemoon CTO Thomas Smith beteuert unterdessen, dass man nicht die Absicht habe, die Kontrolle über das Protokoll aus der Hand zu geben.

„Was die anderen Themen angeht, wie etwa die Möglichkeit des Ownership Renounce […], so werden wir niemals verzichten und haben unsere Haltung dazu in der Vergangenheit deutlich gemacht. Intern haben wir Richtlinien und Verfahren, wie der Vertrag funktioniert, um das Risiko einer falschen Handhabung von Werten zu verringern, aber wir werden niemals die Gebühren oder maxTx [maximale Transaktionen] ändern“, so Smith gegenüber dem Krypto-Blog Bitcoinist. Damit bleibt Safemoon ein hochgradig zentralisiertes Projekt – inklusiver aller Risiken und Nebenwirkungen.

Autor des Artikels ist Christopher Klee.