Giełda Solana DEX ostrzega dostawców płynności, by wycofali środki po ujawnieniu powiązań z pracownikiem z Korei Północnej

Najważniejsze informacje:

• Stabble wezwało wszystkich dostawców płynności do wycofania środków 7 kwietnia 2026 r., po tym jak ZachXBT wskazał byłego pracownika jako podejrzanego o współpracę z KRLD.
• W Stabble nie doszło do żadnego ataku ani naruszenia bezpieczeństwa, a wartość TVL protokołu wynosiła około 1,75 mln dolarów w momencie ogłoszenia ostrzeżenia.
• Nowy zespół Stabble planuje przeprowadzić nowe audyty przed wznowieniem normalnej działalności, po przejęciu firmy około cztery tygodnie wcześniej.

Solana DEX Stabble ogłasza awaryjną wypłatę LP

Były pracownik został zidentyfikowany jako Keisuke Watanabe, działający pod pseudonimami, takimi jak kasky53, keisukew53, kdevdivvy i 0xWoo na GitHubie i platformach społecznościowych. ZachXBT ujawnił pełne imię i nazwisko Watanabe, powiązane adresy portfeli na Solanie i Ethereum, adres e-mail oraz dokumentację OSINT w publicznym poście na X skierowanym do Elemental, projektu infrastruktury DeFi Solana, w którym Watanabe również pracował.

Nowy zespół zarządzający Stabble, który przejął projekt około cztery tygodnie przed ujawnieniem informacji, potwierdził, że były pracownik pracował w Stabble około rok wcześniej. Zespół stwierdził, że nie doszło do żadnego ataku, naruszenia ani żadnego znanego incydentu bezpieczeństwa. Awaryjny post z konta Stabble na X brzmiał:

„PILNE! Prosimy o natychmiastowe tymczasowe wycofanie płynności! Lepiej dmuchać na zimne. Nowy zespół Stabble”.

W kolejnym oświadczeniu zespół wyjaśnił swoje stanowisko. „Nie jesteśmy specjalistami od PR, jesteśmy analitykami ilościowymi i pionierami DeFi” – napisali. „Naszym głównym celem jest bezpieczeństwo naszych LP. Nie doszło do żadnego ataku. Otrzymaliśmy wiadomość i podejmujemy odpowiednie działania”.

W momencie ogłoszenia alarmu całkowita wartość zablokowana w protokole wynosiła około 1,75 mln dolarów, przy czym trwały już znaczne wypłaty, a duża część środków była skoncentrowana w jednym portfelu. Ograniczona wartość TVL ograniczyła zakres potencjalnego ryzyka. Infiltracja projektów kryptowalutowych i DeFi przez pracowników IT powiązanych z KRLD to udokumentowany schemat trwający co najmniej siedem lat.

Agenci ci często podszywają się pod japońskich lub innych zagranicznych programistów, aby uzyskać dostęp do poufnych informacji. Władze amerykańskie i niezależni badacze zidentyfikowali podejrzanych pracowników z Korei Północnej w ponad 40 platformach DeFi.

Niedawny atak na protokół Drift na Solanie, szacowany na około 280 milionów dolarów i przypisywany podejrzanym podmiotom z Korei Północnej, był wynikiem wielomiesięcznej inżynierii społecznej, a nie luki w smart kontrakcie.

Stabble pasuje do profilu projektu podatnego na ryzyko związane z dotychczasowym zespołem. Nowe kierownictwo odziedziczyło kod źródłowy i historię współpracowników, których nie zweryfikowało w pełni. Ich decyzja o wstrzymaniu działalności i zleceniu nowych audytów dużym firmom odzwierciedla postawę ostrożnościową, a nie dbałość o wizerunek.

Zespół informował o postępach operacyjnych w tygodniach poprzedzających incydent, w tym o podwojeniu TVL, trzy- do czterokrotnym wzroście przychodów oraz 100-procentowym wzroście ceny. Zyski te pozostają nienaruszone, ponieważ nie utracono żadnych środków, a protokół nadal przetwarza wypłaty.
W swoim komentarzu na temat włamania do Drift ZachXBT powiązał Watanabe z założycielem Elemental, „Moo”, a Stabble znalazło się w centrum uwagi ze względu na wcześniejsze powiązania z tą samą osobą. Ta międzyprojektowa ekspozycja pokazuje, jak jeden potwierdzony zły aktor może wywołać falę skutków w wielu protokołach.

„Przestań udawać cnotliwego – wygodnie pominąłeś fakt, że przez lata zatrudniałeś pracownika IT z KRLD w Elemental” – zauważył ZachXBT.

Moo odrzucił oskarżenie o udawanie cnotliwego i przeniósł uwagę na kwestię odpowiedzialności. Założyciel Elemental argumentował, że gdy dochodzi do poważnych awarii, minimalnym standardem jest przyznanie się do błędów, przejrzysta komunikacja i bezpośrednie stawienie czoła użytkownikom.

Reakcja społeczności na sposób postępowania Stabble była podzielona. Niektórzy użytkownicy pochwalili zespół za przejrzyste i szybkie działania. Inni skrytykowali dosadne sformułowanie „SYTUACJA AWARYJNA”, twierdząc, że może ono wywołać niepotrzebną panikę, biorąc pod uwagę brak potwierdzonego zagrożenia.

Zespół Stabble planuje skontaktować się z dużymi firmami audytorskimi przed wznowieniem operacji płynnościowych. Nie potwierdzono jeszcze harmonogramu działań. Projekty kryptowalutowe każdej wielkości nadal borykają się z presją, by weryfikować współpracowników poprzez sprawdzanie przeszłości, izolację przeglądu kodu i kontrolę uprawnień. Incydent ze Stabble dołącza do rosnącej listy przypadków, w których oszustwa związane z tożsamością powiązane z KRLD dotarły do projektów długo po tym, jak sprawca już się wycofał.