Je kleiner die Vertrauensoberfläche, desto kleiner die Fehleroberfläche.

Die meisten Sicherheitsvorfälle in diesem Markt stammen aus Kontrollen, die der Betreiber niemals hätte ausliefern dürfen. Wir haben sie nicht ausgeliefert.

• Keine Admin-Keys. Jeder Contract ist ohne Owner-, Governor- oder Multisig-Rollen deployed. Es gibt keine Adresse, die Trading pausieren, LP entziehen, neue Supply minten oder die Implementation upgraden kann. renounceOwnership() ist kein Feature — es ist Standard.
• Kein Proxy / Upgrade-Pfad. Jeder Contract ist ein Final-Bytecode-Deployment. Kein delegatecall zu einer veränderbaren Implementation. Der Bytecode an der deployten Adresse heute ist der Bytecode für immer.
• Keine Pause-Mechanik. Selbst im Notfall kann der Betreiber einen Trade nicht stoppen oder zensieren. Wird eine Schwachstelle entdeckt, ist die einzige Mitigation, die Offenlegung zu publizieren und den Markt neu bepreisen zu lassen; User-Assets bleiben onchain erreichbar.
• Keine Custodial-Reserve. Das Backend hält null Schlüsselmaterial. Das Ledger des Betreibers signiert ausschließlich eigene Treasury-Operationen. User-Keys werden auf dem Gerät des Nutzers via WebAuthn PRF aus einem Passkey abgeleitet — sie verlassen den Browser nie.
• Kein Off-Chain Fee-Pfad. Alle Gebühren werden atomar im Router-Multicall gesplittet und an einen unveränderlichen On-Chain-Collector geroutet. Kein Off-Chain-Settlement, kein IOU-Ledger, kein Rebate-Accrual, das vom Online-Bleiben des Betreibers abhängt.
• Kein Emittenten-abhängiger Stablecoin in der Fee-Senke. Der Collector senkt zu LUSD, nicht USDC. Circle kann das Working-Capital des Betreibers nicht einfrieren. Der Trade-off ist dünnere Liquidität, bewusst akzeptiert.

Jeder Eintrag oben ist der live Bytecode an der Adresse, Stand Mainnet-Block 25 253 169 (5. Juni 2026). Founders Pass V2, Token-Factory V3, Subscription V1, Treasury Sweeper V1 und LSR-Airdrop sind Ownable-Verträge, deren Owner der Operator-Treasury-EOA 0x791dA60B…0a120B73 ist — die Ledger-kontrollierte Adresse, die im Operating Agreement Art. V §5.1 als Company-Property deklariert ist. Der Fee-Collector LUSD und der LSR-Token sind ohne Owner-Rolle deployed (jeder owner()-Call revertet) — es gibt schlicht keinen Admin-Key, der renounced oder kompromittiert werden könnte. Die Zieladresse (TREASURY), die Stablecoin (STABLE = LUSD), Wrapped-Native (WETH) und der DEX-Router (UNIV3_ROUTER) des Fee-Collectors sind alle immutable Solidity-Slots, gesetzt im Konstruktor — on-chain verifiziert als Operator-Treasury, Liquity-LUSD, kanonisches WETH und Uniswap V3 SwapRouter02. Ein kompromittierter Operator-Schlüssel kann Fees nicht umleiten, die Stablecoin nicht ändern und keinen bösartigen Router einsetzen. Der LSR-Airdrop-Contract ist mit exakt 250.000.000 LSR pre-funded (500 Passes × 500.000 LSR), nach dem 500. Mint per Merkle-Proof von den Holdern claimbar; nicht-eingelöste Token nach dem operator-gesetzten Fenster fließen per Tokenomics zurück in die Treasury. Quelle via “Contract”-Tab auf Etherscan abrufen ist ein Klick.

Alle sieben Adressen oben sind auf der offenen, freien, dezentralen Sourcify-Registry source-verifiziert — jeder Match ist als exact_match eingetragen, die strengste Stufe, die Sourcify vergibt (Constructor-Args + Metadata-Hash matchen beide). Öffne die Founders Pass V2 Lookup-Seite und du siehst die Solidity-Quelle Seite-an-Seite mit dem On-Chain-Bytecode — keine “vertrau-den-Deployment-Notes”-Schicht dazwischen.

Ein Etherscan-Verifizierungs-Badge ist die Post-Launch-Operator-Aktion; bis es landet, ist Sourcify das kanonische Trust-Signal. Die Bytecode-Pinning-Tabelle unten macht den Verifizierungs-Anbieter irrelevant — du kannst verifizieren, ohne irgendeinem Drittpartei-Verifier zu vertrauen.

Für den Spot-Check vom Terminal ist der On-Chain-Bytecode ein einzelner cast-Call entfernt — kein Clone nötig:

cast code 0x6238B370E5cB9E06b6277aaDcf1307E30D3B212d \
  --rpc-url https://eth.llamarpc.com   # beliebiger Mainnet-RPC
# Das Ergebnis ist content-addressable, daher bekommen alle
# Verifizierer dieselben Bytes, egal welchen RPC sie fragen.

Für den deterministischen Spot-Check ist unten der sha256 des Runtime-Bytecodes jedes Contracts gepinnt. Jeder Hash wurde bei Mainnet-Block 25 253 169 aus einer lokalen Reth-Archive gezogen; non-upgradeable Contracts sind unveränderlich, der Hash matched also dauerhaft. cast code via Pipe in sha256sum — das Digest muss Zeile für Zeile gegen diese Tabelle stimmen.

# Eine Zeile deterministisch verifizieren:
cast code <ADRESSE> --rpc-url <BELIEBIGER_RPC> \
  | tr -d $'\n' \
  | sha256sum

Vollständige 64-Zeichen-Digests, ohne Abkürzung: 90a31ac84e2a6c891800fad78c16e93c0397ad05be0b86940b1ff08c09cb59b2 · 210b2477d84bcd6eeb68f7dd56fa64454e9e101215f50c1460419a596c991ab7 · 5fda22d17b17d6c8df73d66cc06f896e5e1fdccdfed23624dabcdf0de0a678e3 · df6f1e911198ab65cd5e4f0c4f9ac9b3fc78fb7f145518a934293c6b839ec232 · b38b3942791a4e49523027091507b3e49eb77a609487f2209113713588c7e521 · acd8cf2c77a2c545d846b1ce0b89780a6d684901bcbf6bb37e608a47b5b70e3b.

Falls du einen Source-vs-Bytecode-Mismatch auf einer Adresse oben findest, ist das ein Sicherheitsvorfall. Reiche es in-app unter Einstellungen · Support ein; das Ticket ist an dein Wallet gebunden, die Antwort landet als Push-Notification, und der Betreiber liest jedes einzelne.

Ein vollständiger Source-Repository-Mirror ist Teil der Post-Launch-Transparenz-Roadmap; bis dahin ist der Sourcify exact-match-Eintrag das kanonische Drittpartei-Artefakt.

LOSURIAs Launchpad-Contracts wurden noch nicht von einer Drittpartei auditiert. Das ist die Wahrheit, kein roadmap-vertagtes Vielleicht. Das aktuelle Sicherheitsmodell ruht auf drei Behauptungen, die jeder ohne Audit verifizieren kann:

• Die Contracts sind unveränderlich. Es gibt keinen Pfad für den Betreiber, nach dem Deployment einen Bug einzubauen.
• Source matcht Bytecode. Etherscan-Source-Verifikation bedeutet, dass jeder externe Reviewer exakt lesen kann, was ausgeführt wird.
• Die Bug-Class-Oberfläche ist klein. Keine Admin-Keys = kein Key-Leak-Szenario. Kein Pause = kein Zensur-Fork. Kein Upgrade = kein Rug-durch-Implementation-Swap.

Ein formales Drittpartei-Tier-1-Audit wird post-Revenue finanziert, mit dem Report publiziert, ob die Findings schmeichelhaft sind oder nicht. Bis dieser Report existiert, bitte gegen die Quelle selbst verifizieren, statt sich auf ein Logo zu verlassen.