Stabble, eine solana-basierte dezentrale Börse (DEX), forderte alle Liquiditätsanbieter am Dienstag auf, ihre Gelder unverzüglich abzuziehen, nachdem der Onchain-Analyst ZachXBT öffentlich einen ehemaligen Mitarbeiter mit vermuteten nordkoreanischen IT-Operationen in Verbindung gebracht hatte.
Wichtige Erkenntnisse:
- Stabble forderte alle Liquiditätsanbieter auf, am 7. April 2026 Gelder abzuziehen, nachdem ZachXBT einen verdächtigen ehemaligen Mitarbeiter als mutmaßlichen DPRK-Agenten markiert hatte.
- Es gab keinen Exploit und keinen Einbruch bei Stabble, und der TVL des Protokolls lag zum Zeitpunkt der Meldung bei ungefähr 1,75 Mio. US-Dollar.
- Das neue Team von Stabble plant neue Audits, bevor es den normalen Betrieb wieder aufnimmt, nachdem es rund vier Wochen zuvor übernommen worden war.
Solana-DEX Stabble gibt Notfall-Aufruf zum LP-Abzug heraus
Der ehemalige Mitarbeiter wurde als Keisuke Watanabe identifiziert, der unter anderem unter Aliases wie kasky53, keisukew53, kdevdivvy und 0xWoo aktiv war – sowohl auf GitHub als auch in sozialen Medien. ZachXBT deckte Watanabes vollständigen Namen auf, nannte zugehörige Wallet-Adressen auf Solana und Ethereum, eine E-Mail sowie unterstützende OSINT-Dokumentation in einem öffentlichen Beitrag auf X, der an Elemental gerichtet war – ein Solana-DeFi-Infrastrukturprojekt, bei dem Watanabe ebenfalls gearbeitet hatte.
Das neue Managementsteam von Stabble, das das Projekt ungefähr vier Wochen vor der Offenlegung übernommen hatte, bestätigte, dass der ehemalige Mitarbeiter etwa ein Jahr zuvor bei Stabble gearbeitet hatte. Das Team erklärte, es habe keinen Exploit gegeben, keinen Einbruch und keinen bekannten Sicherheitsvorfall irgendeiner Art. Der Notfall-Post vom Stabble-Konto auf X lautete:
„NOTFALL! Leute bitte zieht bitte vorübergehend sofort eure Liquidität zurück! Lieber sicher ist sicher. Das neue Stabble-Team.“
In einer nachfolgenden Stellungnahme klärte das Team seine Position. „Wir sind keine PR-Leute, wir sind Quants und frühe DeFi-Degens“, schrieben sie. „Unser Hauptaugenmerk liegt auf der Sicherheit unserer LPs. Es gab keinen Exploit. Wir haben eine Nachricht erhalten und handeln entsprechend.“
Der gesamte Total Value Locked (TVL) des Protokolls lag zum Zeitpunkt der Meldung bei ungefähr 1,75 Millionen US-Dollar. Es liefen bereits bedeutende Abzüge, und ein großer Teil der Gelder war in einer einzelnen Wallet konzentriert. Der begrenzte TVL bestimmte den Umfang potenzieller Risiken. IT-Mitarbeiter mit DPRK-Bezug, die sich in Krypto- und DeFi-Projekte einschleusen, sind ein dokumentiertes Muster, das sich über mindestens sieben Jahre erstreckt.
Diese Akteure geben sich häufig als japanische oder andere ausländische Entwickler aus, um Insiderzugang zu erhalten. US-Behörden und unabhängige Forscher haben mutmaßliche nordkoreanische Mitarbeiter in mehr als 40 DeFi-Plattformen gemeldet.
Der jüngste Drift-Protocol-Exploit auf Solana, der auf ungefähr 280 Millionen US-Dollar geschätzt und mutmaßlichen nordkoreanischen Akteuren zugeschrieben wurde, beinhaltete Monate Social Engineering statt eine Schwachstelle im Smart Contract.
Stabble passt zum Profil eines Projekts, das anfällig für Risiken aus dem „Legacy-Team“-Umfeld ist. Das neue Management übernahm eine Codebasis und eine Historie von Beiträgen, die sie nicht vollständig auditiert hatten. Ihre Entscheidung, den Betrieb zu pausieren und neue Audits bei großen Firmen einzuholen, spiegelt eine vorsorgliche Haltung mit Blick auf die Außenwirkung wider.
Das Team berichtete über operative Fortschritte in den Wochen vor dem Vorfall, darunter ein verdoppelter TVL, eine Verdreifachung bis Vervierfachung des Umsatzanstiegs und eine 100-prozentige Preissteigerung. Diese Gewinne bleiben bestehen, da keine Gelder verloren gingen und das Protokoll weiterhin Abzüge verarbeitet.
ZachXBTs Offenlegung verband Watanabe mit Elemental-Gründer „Moo“ im Rahmen von Kommentaren zum Drift-Hack, wobei Stabble in den breiteren Vorwürfen gefangen war – durch die frühere Verbindung mit derselben Person. Die projektübergreifende Exponierung zeigt, wie ein bestätigter bösartiger Akteur sich auf mehrere Protokolle auswirken kann.
„Hör auf, Tugend-Signaling zu betreiben, das du bequem weggelassen hast: dass du jahrelang einen DPRK-IT-Mitarbeiter bei Elemental auf der Gehaltsliste hattest“, bemerkte ZachXBT.
Moo wies den Vorwurf des Tugend-Signaling zurück und verlagerte den Fokus auf Verantwortlichkeit. Der Elemental-Gründer argumentierte, dass bei großen Ausfällen der Mindeststandard darin bestehe, Fehler anzuerkennen, transparent zu kommunizieren und Nutzer direkt zu adressieren.
Die Reaktionen der Community auf den Umgang von Stabble waren gespalten. Einige Nutzer gaben dem Team Anerkennung für transparentes, schnelles Handeln. Andere kritisierten die plumpe „NOTFALL“-Rahmung als wahrscheinlich unnötige Panik auszulösen – angesichts des Fehlens einer bestätigten Bedrohung.
Das Stabble-Team plant, vor der Wiedereröffnung der Liquiditätsoperationen Kontakt zu großen Auditing-Firmen aufzunehmen. Ein Zeitplan wurde nicht bestätigt. Krypto-Projekte aller Größen stehen weiterhin unter Druck, Mitwirkende durch Hintergrundchecks, Isolierung im Code-Review und Privilegienkontrollen zu prüfen. Der Vorfall bei Stabble fügt sich in eine wachsende Liste von Fällen ein, in denen DPRK-bezogene Identitätsbetrugsfälle Projekte erreichten, lange nachdem der Operative bereits weitergezogen war.
