Der Memecoin SafeMoon hat seit seiner Veröffentlichung schon mehrere parabolische Rallyes sowie massive Kurseinbrüche erlebt. Mit einem marketingwirksamen Namen und einer kreativen Token-Ökonomie versucht SafeMoon an den Erfolg des Memecoins Dogecoin anzuknüpfen. Was ihm auch – zumindest teilweise – gelungen ist. Mit einer Marktkapitalisierung von rund 2,6 Milliarden USD rangiert der erst Anfang März lancierte Altcoin auf Rang 49 der kapitalstärksten Krypto-Netzwerke. Auch wenn SafeMoon sich wieder deutlich von seinem am 11. März aufgestellten Kursrekord entfernt hat, handelt der Token zu Redaktionsschluss mit 0.00001094  USD noch immer knapp 10.000 Prozent über seinem All-Time Low vom 14. März. Ein Smart-Contract-Audit der DeFi-Sicherheitsfirma HashEx hat nun einige teils gravierende Sicherheitsmängel in Smart Contracts von SafeMoon ermittelt.

Wie sicher ist SafeMoon?

Ganze zwölf Schwachstellen von unterschiedlichem Bedrohungspotenzial präsentiert HashEx in seinem Abschluss-Bericht zum Audit der SafeMoon Smart Contracts. Zwei der Sicherheitslücken stuft HashEx dabei als “kritisch” ein, zwei erhalten das Prädikat “hoch unsicher”. Die restlichen acht Schwachstellen sind von “mittlerer” bis “niedriger” Gefahr. Die aufgedeckten Sicherheitslücken können es Angreifern unter anderem ermöglichen, Provisionen für SAFEMOON Token auf bis zu 100 Prozent festzulegen und Token-Transfers vorübergehend zu blockieren. Letzteres hat seinen Grund in dem Umstand, dass der Smart Contract für den SAFEMOON Token einer einzelnen externen Entität zugeordnet ist.

Zum Zeitpunkt der Prüfung ist der Eigentümer des Token-Kontrakts auf ein EOA-Konto (externes Konto) festgelegt, was hohe Risiken für Token-Inhaber mit sich bringt, da ein Angreifer bei einer Kompromittierung des Eigentümer-Kontos die Token-Funktionalität vollständig unterbrechen kann (z. B. durch Blockieren jeglicher Überweisungen).

Anders gesagt: SafeMoon Holder müssen blind darauf vertrauen, dass der Eigentümer des Smart Contracts ehrlich ist und/oder seinen Zugriff auf den Smart Contract vor böswilligen Dritten schützt.

Eine weitere Schwachstelle sieht HashEx in der Funktion “Renounce Ownership” des SafeMoon Smart Contracts. Die Funktion dient dem Ersteller eines Smart Contracts normalerweise dazu, den Zugriff auf den Smart Contract an einen anderen Besitzer beziehungsweise die Community zu übergeben. Bei SafeMoon lässt sich laut HashEx nicht ermitteln, ob der Besitzer eines Smart Contracts seine Inhaberschaft für immer oder nur temporär abgegeben hat. Dadurch entsteht eine Backdoor, vor der Mitte März bereits ein Reddit-Nutzer gewarnt hat.

CTO bittet um Vertrauensvorschuss

Die Möglichkeit eines Rug Pulls besteht damit für SafeMoon, solange die Funds maßgeblich von einer einzelnen Wallet kontrolliert werden. Safemoon CTO Thomas Smith beteuert unterdessen, dass man nicht die Absicht habe, die Kontrolle über das Protokoll aus der Hand zu geben.

“Was die anderen Themen angeht, wie etwa die Möglichkeit des Ownership Renounce […], so werden wir niemals verzichten und haben unsere Haltung dazu in der Vergangenheit deutlich gemacht. Intern haben wir Richtlinien und Verfahren, wie der Vertrag funktioniert, um das Risiko einer falschen Handhabung von Werten zu verringern, aber wir werden niemals die Gebühren oder maxTx [maximale Transaktionen] ändern”, so Smith gegenüber dem Krypto-Blog Bitcoinist. Damit bleibt SafeMoon ein hochgradig zentralisiertes Projekt – inklusiver aller Risiken und Nebenwirkungen.