Solana DEX Stabble fordert Liquiditätsanbieter auf, Gelder abzuziehen, nachdem ein ehemaliger Mitarbeiter aus Nordkorea identifiziert wurde

Der auf Solana basierende dezentrale Austausch Stabble gab am 7. April 2026 eine Notfallwarnung heraus und forderte Liquiditätsanbieter auf, ihre Gelder umgehend zurückzuziehen, nachdem der Online-Ermittler ZachXBT offengelegt hatte, dass ein IT-Mitarbeiter aus Nordkorea bei Elemental beschäftigt gewesen war, einem Solana- DeFi-Infrastrukturprojekt, und dass dieselbe Person zuvor ungefähr vor einem Jahr bei Stabble gearbeitet hatte.

Stabble betonte, dass kein Exploit stattgefunden habe und dass die Warnung eine vorbeugende Maßnahme gewesen sei, da das neue Team, das vor vier Wochen übernommen habe, daran arbeite, frische Audits durchzuführen.

ZachXBT-Offenlegung löst Stabble-Notfallreaktion aus

ZachXBT veröffentlichte Informationen über einen nordkoreanischen Entwickler, der jahrelang bei Elemental gearbeitet habe, einem Solana-basierten DeFi-Infrastrukturprojekt, und nannte die Person als Keisuke Watanabe, auch bekannt als „kasky53“, sowie veröffentlichte GitHub-Aliase und eine E-Mail-Adresse. Die Offenlegung kam im Rahmen eines Austauschs mit dem Gründer von Elemental „Moo“ über Vertrauens- und Sicherheitspraktiken.

Stunden nach ZachXBTs Beitrag repostete das Team von Stabble die Kommentare des Ermittlers, die einen Lebenslauf und Fotos des angeblichen nordkoreanischen Entwicklers enthielten. Stabble gab anschließend Notfallwarnungen heraus, in denen es Liquiditätsanbieter aufforderte, ihre Gelder abzuziehen. In einer Reihe von Posts auf X erklärte Stabble: „NOTFALL! Leute, zieht bitte vorübergehend sofort eure Liquidität zurück! Lieber auf Nummer sicher als zu spät.“ Der DEX fügte hinzu, dass es keinen Exploit gegeben habe, und dass die Nachrichten lediglich eine Vorsichtsmaßnahme seien.

Als gefragt wurde, ob der nordkoreanische Mitarbeiter für Stabble gearbeitet habe, antwortete der DEX: „Es scheint, dass wir das vor einem Jahr hatten. Wir haben ein neues Team bei Stabble, das vor 4 Wochen übernommen hat.“ Stabble betonte, dass sein Hauptaugenmerk auf der Sicherheit seiner Liquiditätsanbieter liege, und dass es neue Audits durchführen werde, bevor der Betrieb fortgesetzt werde.

Nordkoreanische IT-Arbeiter, die in Krypto-Projekte eindringen, wirft Sicherheitsbedenken auf

US-Behörden haben Warnungen herausgegeben, dass nordkoreanische Technologie-Fachleute mit gefälschten Identitäten in Krypto-Unternehmen eindringen. Am Wochenende erklärte Drift Protocol, dass sein $280 Millionen-Exploit sehr wahrscheinlich von denselben nordkorea-nahen Akteuren durchgeführt wurde, die auch hinter dem Hack von Radiant Capital im Oktober 2024 steckten. Dieser Angriff war nicht dadurch bemerkenswert, dass es sich um einen Smart-Contract-Bug handelte, sondern wegen einer langwierigen Social-Engineering-Kampagne: Die Angreifer verbrachten Monate damit, Vertrauen aufzubauen und in Beiträger-Zirkel einzudringen, bevor sie Governance-Mechanismen ausnutzten.

Vorangegangene Untersuchungen haben gezeigt, dass Millionen von Dollar an mutmaßlich mit der DPRK verknüpfte Entwickler flossen, die unter gefälschten Identitäten arbeiteten, was Bedenken hinsichtlich Insider-Zugriff und langfristigen Eindringrisiken aufwirft. Auf X kursierendes Filmmaterial scheint zu zeigen, dass verdächtige DPRK-IT-Mitarbeiter abrupt eine Zoom-Call-Sitzung verließen, nachdem sie dazu aufgefordert worden waren, den nordkoreanischen Anführer Kim Jong Un zu kritisieren, was die Spekulationen über verdeckte Operative innerhalb von Krypto-Teams weiter anheizt.

Die Entwicklungen folgen auf den jüngsten Drift-Protocol-Hack, einen der größten DeFi-Exploits des Jahres 2026, bei dem mehr als $200 Millionen – und möglicherweise bis zu $285 Millionen – abgezogen wurden. Analysten und Blockchain-Forscher haben den Angriff mit nordkoreanischen Hackergruppen in Verbindung gebracht und dabei Muster genannt, die mit früheren Operationen übereinstimmen, die mit der Lazarus-Gruppe verbunden waren.

Stabbles Reaktion und nächste Schritte

Nach Kritik von X-Nutzern an seinem Umgang mit der Situation postete Stabble, dass es keinen Exploit gegeben habe und dass die Warnmeldungen lediglich eine Vorsichtsmaßnahme gewesen seien. Der DEX erklärte: „Wir sind keine PR-Leute, wir sind Quants und frühe DeFi-Degens. Wir hören euch, und euer Feedback ist wichtig.“ Stabble machte deutlich, dass das neue Team darauf abzielt, das Projekt zu reparieren, und dass es frische Audits durchführen wird, um die Sicherheit der Liquiditätsanbieter zu gewährleisten, bevor der Betrieb fortgesetzt wird.

Der Vorfall verdeutlicht die anhaltenden Risiken im DeFi-Sektor im Zusammenhang mit Insider-Bedrohungen und der Infiltration von Krypto-Projekten durch nordkoreanische Operative – sowohl als Entwickler als auch als böswillige Akteure, die auf die Protokoll-Governance abzielen.

FAQ

Warum forderte Stabble Liquiditätsanbieter auf, Gelder abzuziehen?

Stabble gab eine Notfallwarnung heraus, nachdem der Online-Ermittler ZachXBT offengelegt hatte, dass ein IT-Mitarbeiter aus Nordkorea bei Elemental beschäftigt gewesen war, einem Solana-DeFi-Projekt, und dass dieselbe Person ungefähr vor einem Jahr bei Stabble gearbeitet hatte. Stabble erklärte, dass es keinen Exploit gegeben habe und dass die Warnung eine vorbeugende Maßnahme gewesen sei.

Welche Bedeutung haben nordkoreanische IT-Arbeiter in Krypto-Projekten?

US-Behörden haben vor nordkoreanischen Technologie-Fachleuten gewarnt, die mit gefälschten Identitäten in Krypto-Unternehmen eindringen. Jüngste hochkarätige Exploits, darunter der Drift-Protocol-Hack, wurden mit nordkoreanischen Akteuren in Verbindung gebracht. Ermittler haben herausgefunden, dass mit der DPRK verknüpfte Entwickler seit Jahren in die Gehaltslisten von Krypto-Projekten eingebettet sind, was Bedenken hinsichtlich Insider-Zugriff und langfristigen Eindringrisiken aufwirft.

Welche Schritte unternimmt Stabble nach der Offenlegung?

Stabble, nun unter einem neuen Team, das vor vier Wochen übernommen hat, erklärte, dass es frische Audits durchführen werde, um die Sicherheit der Liquiditätsanbieter zu gewährleisten, bevor der Betrieb fortgesetzt wird. Der DEX betonte, dass kein Exploit aufgetreten sei und dass die Warnung eine vorbeugende Maßnahme gewesen sei.