Kryptofirma Safemoon nicht safe: 8 Millionen Euro weg
War es ein Dieb? Oder hat jemand zufällig dem Dieb die Beute weggeschnappt? Die Kryptomünzen sind jedenfalls nicht dort, wo sie sein sollten. Ein Sittenbild.
Eine Einheit der Kryptowährung Safemoon (SFM) war einmal umgerechnet 0,72 US-Cent wert, sagt die weltgrößte Kryptobörse Binance; derzeit liegt der Kurs um 0,02 Cent (-97 %). Wer den Wechselkurs manipuliert, kann große Beute machen. Tatsächlich hat sich jemand knapp neun Millionen US-Dollar (circa 8,2 Millionen Euro) gekrallt; SFM-Inhaber können ihre virtuellen Münzen derzeit kaum verkaufen.
Zum genauen Hergang kursieren unterschiedliche Versionen. Klar ist, dass viele Kryptomünzen in falschen Händen sind. Im Zentrum steht ein Bug im Safemoon-Liquiditätspool. Der Liquiditätspool soll eigentlich den schnellen Wechsel von SFM in WBNB und umgekehrt ermöglichen. WBNB ist eine Variante des hauseigenen Tokens BNB der weltgrößten Kryptobörse Binance. Im Liquiditätspool sind SFM und WBNB gespeichert, damit Nutzer, die eine Kryptowährung in die andere tauschen möchten, nicht auf einen anderen User warten müssen, der in die gegenteilige Richtung wechseln möchte.
Smart Contract ist es nicht
Technisch handelt es sich bei einem Liquiditätspool um einen Smart Contract (eine häufig irreführende Bezeichnung). Smart Contracts beruhen auf Software, die automatisch auf bestimmte Eingaben reagiert. Der Sourcecode ist für die Teilnehmer in der Regel einsehbar. Von ihrer Grundidee her sind einmal geschlossene Smart Contracts unveränderlich; aufgrund von Bugs hat das aber zu Millionenverlusten geführt. Daher sind veränderliche Smart Contracts immer häufiger, so auch der Safemoon-Liquiditätspool.
Dieser enthält eine Funktion, die es erlaubt, SFM zu löschen, und zwar egal an welcher Adresse sie gespeichert sind und wem sie "gehören". Diese "burn"-Funktion sollte eigentlich nur die Betreiberfirma Safemoon LLC nutzen können.
Ein schlechtes Update des Smart Contracts führte allerdings dazu, dass jedermann diese Funktion nutzen konnte. Mehrere Krypto-Fachwebseiten berichten, dass ein unbekannter Gewiefter das ausgenutzt hat. Er kaufte demnach zunächst einige SFM, dann löschte er (unbefugt) den Großteil der im Liquiditätspool gespeicherten SFM. Das störte das Gleichgewicht im Pool, denn plötzlich standen den gespeicherten WBNB nur ganz wenige SFM gegenüber. Damit waren diese SFM im Rahmen des Liquiditätspools plötzlich ein Vielfaches am WBNB wert
Der nächste Schritt war dann, die zuvor gekauften SFM in den Liquiditätspool einzuzahlen, um alle WBNB herauszubekommen. Die zuvor gekauften SFM brachten damit ein Vielfaches an WBNB, im Gegenwert von 8,9 Millionen Dollar.
Der Zufalls-Samariter
Die Webseite Decrypt.co weist allerdings darauf hin, dass jemand eine Nachricht an die Safemoon-Betreiber geschickt hat: "Hey relax, we are accidently frontrun an attack against you, we would like to return the fund, setup secure communication channel, lets talk". (etwa "Entspannt Euch, wir haben unabsichtlich einen Angriff von Euch durch Frontrunning vereitelt, wir möchten die Summe zurückgeben, setzen wir einen sicheren Kanal auf, lasst uns reden".)
Safemoon wird auf einer öffentlich einsehbaren Blockchain gehandelt; Blockchains sind meist langsam, Trades brauchen eine gewisse Zeit. Zahlt jemand höhere Gebühren (zusätzlich zur 10-Prozent-Gebühr für alle Safemoon-Transaktionen), wird seine Order vorrangig abgewickelt. Im Fachjargon heißt das Frontrunning.
Der zweite Unbekannte behauptet, durch seine Order, für deren schnelle Abwicklung er höhere Gebühren gezahlt hat, unabsichtlich den Smart-Contract-Fehler ausgenutzt zu haben. Damit wurde der Bestand an WBNB abgeschöpft; weil der Liquiditätspool damit auf beiden Seiten leer war, konnte der eigentliche Täter keine WBNB mehr abziehen.
Safemoon LLC
Ob diese Geschichte des zufälligen Samariters, dem mehr als acht Millionen Euro in den Schoß gefallen sind, die er jetzt lieb gegen eine auszuhandelnde Belohnung zurückgeben möchte, stimmt, ist unklar. Inhaber von SFM können diese derzeit nicht wechseln, weil der Liquiditätspool leer ist. Die Safemoon-Betreiber verbreiten Durchhalteparolen und hoffen offenbar darauf, dass Binance die entnommenen WBNB einfriert und in den SFM-Liquiditätspool zurückgibt. Dann wäre keine Belohnung an den Samariter fällig, und wieder einmal bewiesen, dass "centralized finance" vielleicht doch Vorteile gegenüber der DeFi (decentralized finance) hat.
Kritiker machen den Safemoon-Betreibern schon seit einiger Zeit verschiedene Vorwürfe, von Pump-and-Dump bis zu Pyramidenspiel. Voriges Jahr haben geschädigte SFM-Inhaber zwei Sammelklagen beantragt. Eine Klage wurde inzwischen ruhend gestellt, die andere wird unter dem Namen Combs et al v. Safemoon LLC et al am US-Bundesbezirksgericht Utah (Az. 2:22-cv-00642) weitergeführt.
Safemoon LLC bietet neben der hauseigenen Kryptowährung einen Passwortmanager an und arbeitet angeblich am Aufbau einer Kryptobörse. Die Rede war zudem von einer Debitkarte, mit der Nutzer ihre SFM-Münzen in normalen Geschäften ausgeben könnten; dafür sollten sie bei jedem Einsatz 2,5 Prozent Gebühren zahlen, was enden wollende Begeisterung auslöste.
(ds)