Solana DEX opfordrer likviditetsudbydere til at trække deres midler ud, efter at der er dukket oplysninger op om en nordkoreansk medarbejder

Hovedpunkter:

• Stabble opfordrede alle likviditetsudbydere til at trække deres midler ud den 7. april 2026, efter at ZachXBT havde udpeget en mistænkt tidligere medarbejder som en formodet nordkoreansk agent.
• Der forekom ingen udnyttelse eller brud på sikkerheden hos Stabble, og protokollens TVL lå på ca. 1,75 mio. USD på tidspunktet for advarslen.
• Stabble's nye team planlægger nye revisioner, før den normale drift genoptages, efter en overtagelse for cirka fire uger siden.

Solana DEX Stabble udsteder nødudtrækning af LP

Den tidligere medarbejder blev identificeret som Keisuke Watanabe, der opererede under aliaser, herunder kasky53, keisukew53, kdevdivvy og 0xWoo på GitHub og sociale platforme. ZachXBT afslørede Watanabes fulde navn, tilknyttede tegnebogsadresser på Solana og Ethereum, e-mail og understøttende OSINT-dokumentation i et offentligt indlæg på X rettet mod Elemental, et Solana DeFi-infrastrukturprojekt, hvor Watanabe også havde arbejdet.

Stabble's nye ledelsesteam, som overtog projektet cirka fire uger før afsløringen, bekræftede, at den tidligere medarbejder havde arbejdet hos Stabble cirka et år tidligere. Teamet sagde, at der ikke var tale om nogen udnyttelse, intet brud på sikkerheden og ingen kendte sikkerhedshændelser af nogen art. Det akutte indlæg fra Stabble-kontoen på X lød:

"NØDSITUATION! Venner, træk venligst jeres likviditet midlertidigt ud med det samme! Bedre at være på den sikre side. Det nye Stabble-team."

I en opfølgende erklæring præciserede teamet deres holdning. "Vi er ikke PR-folk, vi er kvantitative analytikere og tidlige DeFi-degens," skrev de. "Vores primære fokus er sikkerheden for vores LP'er. Der har ikke været nogen udnyttelse. Vi har modtaget en besked og handler på den."

Protokolens samlede værdi lå på ca. 1,75 millioner dollars på tidspunktet for alarmen, hvor betydelige udtræk allerede var i gang, og en stor del af midlerne var koncentreret i en enkelt tegnebog. Den begrænsede TVL begrænsede omfanget af enhver potentiel risiko. IT-medarbejdere med tilknytning til Nordkorea, der infiltrerer krypto- og DeFi-projekter, er et dokumenteret mønster, der strækker sig over mindst syv år.

Disse agenter udgiver sig ofte for at være japanske eller andre udenlandske udviklere for at få insideradgang. Amerikanske myndigheder og uafhængige forskere har påpeget mistænkte nordkoreanske medarbejdere inden for mere end 40 DeFi-platforme.

Det nylige udnyttelsesangreb på Drift Protocol på Solana, der anslås til cirka 280 millioner dollars og tilskrives mistænkte nordkoreanske aktører, involverede måneder med social engineering snarere end en sårbarhed i smartkontrakten.

Stabble passer til profilen af et projekt, der er sårbart over for risici forbundet med det gamle team. Den nye ledelse arvede en kodebase og en historie med bidragydere, som de ikke havde gennemgået fuldt ud. Deres beslutning om at sætte driften på pause og søge nye revisioner fra store firmaer afspejler en forsigtig holdning frem for et image.

Teamet rapporterede om operationelle fremskridt i ugerne før hændelsen, herunder en fordobling af TVL, en tredobling til firedobling af omsætningen og en prisstigning på 100 procent. Disse gevinster forbliver intakte, da der ikke gik midler tabt, og protokollen fortsætter med at behandle udbetalinger.

ZachXBT's afsløring forbandt Watanabe med Elemental-grundlæggeren "Moo" under en kommentar til Drift-hacket, hvor Stabble blev fanget i den bredere kritik på grund af sin tidligere tilknytning til samme person. Den tværgående eksponering fremhæver, hvordan en enkelt bekræftet skurk kan sprede sig på tværs af flere protokoller.

"Hold op med at signalere dyd – du har bekvemt udeladt det faktum, at du i årevis havde en nordkoreansk IT-medarbejder på lønningslisten hos Elemental," bemærkede ZachXBT.

Moo afviste beskyldningen om at signalere dyd og flyttede fokus over på ansvarlighed. Elemental-grundlæggeren argumenterede for, at når der opstår større fejl, er minimumsstandarden at erkende fejlene, kommunikere gennemsigtigt og møde brugerne direkte.

Reaktionen fra communityet på Stabbles håndtering var delt. Nogle brugere roste teamet for gennemsigtig og hurtig handling. Andre kritiserede den direkte "EMERGENCY"-formulering for at kunne forårsage unødvendig panik i betragtning af, at der ikke var tale om en bekræftet trussel.

Stabble-teamet planlægger at kontakte store revisionsfirmaer, inden de genåbner likviditetsoperationerne. Der er ikke bekræftet nogen tidsplan. Kryptoprojekter af alle størrelser står fortsat under pres for at undersøge bidragydere gennem baggrundstjek, isoleret kodegennemgang og privilegiekontrol. Stabble-hændelsen føjer sig til en voksende liste af sager, hvor identitetssvindel med tilknytning til Nordkorea ramte projekter længe efter, at den ansvarlige var gået videre.