Solana DEX warnt Liquiditätsanbieter, ihre Einlagen abzuziehen, nachdem Verbindungen zu einem nordkoreanischen Mitarbeiter bekannt wurden

• Stabble forderte alle Liquiditätsanbieter am 7. April 2026 auf, ihre Gelder abzuheben, nachdem ZachXBT einen mutmaßlichen ehemaligen Mitarbeiter als mutmaßlichen Agenten der DVRK identifiziert hatte.
• Bei Stabble kam es zu keinem Exploit oder Sicherheitsverstoß, und die TVL des Protokolls belief sich zum Zeitpunkt der Warnung auf etwa 1,75 Millionen US-Dollar.
• Das neue Team von Stabble plant neue Audits, bevor der normale Betrieb wieder aufgenommen wird, nachdem das Unternehmen etwa vier Wochen zuvor übernommen worden war.

Solana-DEX Stabble veranlasst Notfall-LP-Abzug

Der ehemalige Mitarbeiter wurde als Keisuke Watanabe identifiziert, der unter Pseudonymen wie kasky53, keisukew53, kdevdivvy und 0xWoo auf GitHub und sozialen Plattformen aktiv war. ZachXBT veröffentlichte Watanabes vollständigen Namen, zugehörige Wallet-Adressen auf Solana und Ethereum, seine E-Mail-Adresse sowie unterstützende OSINT-Dokumentation in einem öffentlichen Beitrag auf X, der sich an Elemental richtete, ein Solana-DeFi-Infrastrukturprojekt, bei dem Watanabe ebenfalls tätig gewesen war.

Das neue Managementteam von Stabble, das das Projekt etwa vier Wochen vor der Enthüllung übernommen hatte, bestätigte, dass der ehemalige Mitarbeiter etwa ein Jahr zuvor bei Stabble tätig gewesen war. Das Team erklärte, es habe keinen Exploit, keinen Sicherheitsverstoß und keinerlei bekannten Sicherheitsvorfall gegeben. Der Notfallbeitrag vom Stabble-Account auf X lautete:

„NOTFALL! Leute, bitte zieht eure Liquidität sofort vorübergehend ab! Sicher ist sicher. Das neue Stabble-Team.“

In einer nachfolgenden Erklärung stellte das Team seine Position klar. „Wir sind keine PR-Leute, wir sind Quants und frühe DeFi-Degens“, schrieben sie. „Unser Hauptaugenmerk liegt auf der Sicherheit unserer LPs. Es gab keinen Exploit. Wir haben eine Nachricht erhalten und handeln entsprechend.“

Der Total Value Locked des Protokolls belief sich zum Zeitpunkt der Warnung auf etwa 1,75 Millionen US-Dollar, wobei bereits erhebliche Abhebungen im Gange waren und ein großer Teil der Mittel in einer einzigen Wallet konzentriert war. Der begrenzte TVL schränkte das Ausmaß eines potenziellen Risikos ein. Das Eindringen von IT-Mitarbeitern mit Verbindungen zur DVRK in Krypto- und DeFi-Projekte ist ein dokumentiertes Muster, das sich über mindestens sieben Jahre erstreckt.

Diese Agenten geben sich häufig als japanische oder andere ausländische Entwickler aus, um Insider-Zugang zu erlangen. US-Behörden und unabhängige Forscher haben mutmaßliche nordkoreanische Mitarbeiter in mehr als 40 DeFi-Plattformen identifiziert. Der jüngste Exploit des Drift-Protokolls auf Solana, dessen Schaden auf etwa 280 Millionen US-Dollar geschätzt und mutmaßlichen nordkoreanischen Akteuren zugeschrieben wird, beruhte auf monatelanger Social-Engineering-Tätigkeit und nicht auf einer Schwachstelle im Smart Contract.

Stabble entspricht dem Profil eines Projekts, das anfällig für Risiken durch das alte Team ist. Das neue Management übernahm eine Codebasis und eine Historie von Mitwirkenden, die es nicht vollständig geprüft hatte. Die Entscheidung, den Betrieb auszusetzen und neue Audits von großen Firmen einzuholen, spiegelt eine vorsichtige Haltung wider, die über den bloßen äußeren Anschein hinausgeht. Das Team berichtete in den Wochen vor dem Vorfall von operativen Fortschritten, darunter eine Verdopplung des TVL, eine drei- bis vierfache Steigerung der Einnahmen und ein Preisanstieg um 100 Prozent. Diese Gewinne bleiben unberührt, da keine Gelder verloren gingen und das Protokoll weiterhin Auszahlungen verarbeitet. ZachXBTs Enthüllung brachte Watanabe im Rahmen seiner Kommentare zum Drift-Hack mit dem Elemental-Gründer „Moo“ in Verbindung, wobei Stabble aufgrund seiner früheren Verbindung zu derselben Person in die breitere Kritik geriet. Die projektübergreifende Verflechtung verdeutlicht, wie sich ein einziger bestätigter böswilliger Akteur auf mehrere Protokolle auswirken kann.

„Hör auf mit dem Virtue Signaling – du hast geflissentlich verschwiegen, dass du jahrelang einen IT-Mitarbeiter aus Nordkorea bei Elemental auf der Gehaltsliste hattest“, bemerkte ZachXBT. Moo wies den Vorwurf des Virtue Signaling zurück und lenkte den Fokus auf die Rechenschaftspflicht. Der Elemental-Gründer argumentierte, dass bei größeren Ausfällen der Mindeststandard darin bestehe, Fehler einzugestehen, transparent zu kommunizieren und den Nutzern direkt gegenüberzutreten.

Die Reaktionen der Community auf Stabble’s Vorgehen waren geteilt. Einige Nutzer lobten das Team für sein transparentes und schnelles Handeln. Andere kritisierten die unverblümte „EMERGENCY“-Formulierung als potenziell unnötige Panikmache, da keine bestätigte Bedrohung vorlag.

Das Stabble-Team plant, vor der Wiederaufnahme des Liquiditätsbetriebs Kontakt zu großen Wirtschaftsprüfungsgesellschaften aufzunehmen. Ein Zeitplan wurde noch nicht bestätigt. Krypto-Projekte jeder Größe stehen weiterhin unter dem Druck, Mitwirkende durch Hintergrundüberprüfungen, isolierte Code-Reviews und Zugriffskontrollen zu überprüfen. Der Stabble-Vorfall reiht sich ein in eine wachsende Liste von Fällen, in denen Identitätsbetrug mit Verbindungen zur DVRK Projekte erreichte, lange nachdem der Täter bereits weitergezogen war.