Wichtigste Erkenntnisse:
- Stabble forderte alle Liquiditätsanbieter am 07.04.2026 auf, ihre Mittel abzuziehen, nachdem ZachXBT einen mutmaßlichen ehemaligen Mitarbeiter als vermuteten DPRK-Agenten gekennzeichnet hatte.
- Bei Stabble kam es zu keinem Exploit oder Sicherheitsverstoß, und der TVL des Protokolls betrug zum Zeitpunkt des Alarms etwa 1,75 Mio. $.
- Das neue Team von Stabble plant neue Audits, bevor der normale Betrieb wieder aufgenommen wird, nach einer Übernahme etwa vier Wochen zuvor.
Solana DEX Stabble gibt Notfall-LP-Auszahlung heraus
Der ehemalige Mitarbeiter wurde als Keisuke Watanabe identifiziert, der unter den Aliasnamen kasky53, keisukew53, kdevdivvy und 0xWoo auf GitHub und sozialen Plattformen auftrat. ZachXBT veröffentlichte Watanabes vollständigen Namen, zugehörige Wallet-Adressen auf Solana und Ethereum, E-Mail und unterstützende OSINT-Dokumentation während eines öffentlichen Beitrags auf X, der sich an Elemental richtete, ein Solana-DeFi-Infrastrukturprojekt, bei dem Watanabe ebenfalls gearbeitet hatte.
Das neue Managementteam von Stabble, das das Projekt etwa vier Wochen vor der Offenlegung übernahm, bestätigte, dass der ehemalige Mitarbeiter etwa ein Jahr zuvor bei Stabble gearbeitet hatte. Das Team erklärte, dass es keinen Exploit, keinen Sicherheitsverstoß und keinen bekannten Sicherheitsvorfall irgendeiner Art gegeben habe. Der Notfallbeitrag vom Stabble-Account auf X lautete:
In einer Folgestellungnahme klärte das Team seine Position. „Wir sind keine PR-Leute, wir sind Quants und frühe DeFi-Degens", schrieben sie. „Unser Hauptaugenmerk liegt auf der Sicherheit unserer LPs. Es gab keinen Exploit. Wir haben eine Nachricht erhalten und handeln entsprechend."
Der Total Value Locked des Protokolls betrug zum Zeitpunkt des Alarms etwa 1,75 Millionen $, wobei bereits erhebliche Auszahlungen im Gange waren und ein großer Teil der Mittel in einer einzigen Wallet konzentriert war. Der begrenzte TVL enthielt den Umfang jedes potenziellen Risikos. DPRK-verbundene IT-Mitarbeiter, die Krypto- und DeFi-Projekte infiltrieren, sind ein dokumentiertes Muster, das sich über mindestens sieben Jahre erstreckt.
Diese Agenten geben sich häufig als japanische oder andere ausländische Entwickler aus, um Insider-Zugang zu erhalten. US-Behörden und unabhängige Forscher haben mutmaßliche nordkoreanische Mitarbeiter in mehr als 40 DeFi-Plattformen gekennzeichnet.
Der jüngste Drift Protocol-Exploit auf Solana, der auf etwa 280 Millionen $ geschätzt und mutmaßlichen nordkoreanischen Akteuren zugeschrieben wird, umfasste Monate des Social Engineering und keine Smart Contract-Schwachstelle.
Stabble passt zum Profil eines Projekts, das anfällig für Altteam-Risiken ist. Das neue Management erbte eine Codebasis und Mitwirkenden-Historie, die sie nicht vollständig geprüft hatten. Ihre Entscheidung, den Betrieb zu pausieren und neue Audits von großen Firmen anzufordern, spiegelt eine vorsorgliche Haltung über Optik wider.
Das Team berichtete in den Wochen vor dem Vorfall über operative Fortschritte, einschließlich verdoppeltem TVL, einer drei- bis vierfachen Umsatzsteigerung und einer 100-prozentigen Preissteigerung. Diese Gewinne bleiben intakt, da keine Mittel verloren gingen und das Protokoll weiterhin Auszahlungen verarbeitet.
ZachXBTs Offenlegung verband Watanabe während des Kommentars zum Drift-Hack mit Elemental-Gründer „Moo", wobei Stabble durch seine frühere Verbindung mit derselben Person in den breiteren Aufruf verwickelt wurde. Die projektübergreifende Exposition zeigt, wie ein bestätigter böser Akteur sich über mehrere Protokolle ausbreiten kann.
„Hör auf mit Tugendsignalisierung, du hast bequem die Tatsache ausgelassen, dass du jahrelang einen DPRK-IT-Mitarbeiter auf der Gehaltsliste bei Elemental hattest", bemerkte ZachXBT.
Moo wies den Vorwurf der Tugendsignalisierung zurück und verlagerte den Fokus auf Rechenschaftspflicht. Der Elemental-Gründer argumentierte, dass bei großen Fehlern der Mindeststandard darin bestehe, Fehler anzuerkennen, transparent zu kommunizieren und sich den Benutzern direkt zu stellen.
Die Community-Reaktion auf Stabbles Umgang war geteilt. Einige Benutzer würdigten das Team für transparentes, schnelles Handeln. Andere kritisierten die stumpfe „NOTFALL"-Formulierung als wahrscheinlich unnötige Panik verursachend, angesichts des Fehlens einer bestätigten Bedrohung.
Das Stabble-Team plant, große Prüfungsunternehmen zu kontaktieren, bevor Liquiditätsoperationen wieder aufgenommen werden. Es wurde kein Zeitplan bestätigt. Krypto-Projekte aller Größen stehen weiterhin unter Druck, Mitwirkende durch Hintergrundüberprüfungen, Code-Review-Isolation und Privilegienkontrollen zu überprüfen. Der Stabble-Vorfall fügt sich einer wachsenden Liste von Fällen hinzu, bei denen DPRK-verbundener Identitätsbetrug Projekte lange erreichte, nachdem der Agent weitergezogen war.
Quelle: https://news.bitcoin.com/solana-dex-warns-liquidity-providers-to-withdraw-after-north-korean-employee-link-surfaces/
