El DEX de Solana advierte a los proveedores de liquidez que se retiren después de que aparece un vínculo con un empleado norcoreano

Stabble, un exchange descentralizado (DEX) basado en Solana, instó el martes a todos los proveedores de liquidez a retirar sus fondos de inmediato después de que el investigador onchain ZachXBT vinculó públicamente a un ex empleado con presuntas operaciones de TI de Corea del Norte.

Puntos clave:

• Stabble instó a todos los proveedores de liquidez a retirar fondos el 7 de abril de 2026, después de que ZachXBT señalara a un ex empleado sospechoso como presunto operativo de la DPRK.
• No hubo exploit ni filtración en Stabble, y el TVL del protocolo se situó en aproximadamente 1,75 millones de USD en el momento de la alerta.
• El nuevo equipo de Stabble planea auditorías exhaustivas antes de reanudar las operaciones normales, tras una toma de control ocurrida aproximadamente cuatro semanas antes.

El DEX de Solana Stabble emite una retirada de LP de emergencia

El ex empleado fue identificado como Keisuke Watanabe, operando bajo alias que incluyen kasky53, keisukew53, kdevdivvy y 0xWoo en GitHub y plataformas sociales. ZachXBT divulgó el nombre completo de Watanabe, direcciones de billeteras asociadas en Solana y Ethereum, correo electrónico y documentación OSINT de respaldo durante una publicación pública en X dirigida a Elemental, un proyecto de infraestructura DeFi de Solana donde Watanabe también había trabajado.

El nuevo equipo de gestión de Stabble, que tomó el proyecto aproximadamente cuatro semanas antes de la divulgación, confirmó que el ex empleado había trabajado en Stabble aproximadamente un año antes. El equipo afirmó que no hubo exploit, no hubo filtración y no hubo ningún incidente de seguridad conocido de ningún tipo. La publicación de emergencia de la cuenta de Stabble en X decía:

“¡EMERGENCIA! chicos por favor retiren temporalmente su liquidez instantáneamente! Mejor prevenir que lamentar. El nuevo equipo de stabble.”

En una declaración de seguimiento, el equipo aclaró su postura. “No somos gente de relaciones públicas; somos quant y primeros DeFi degens”, escribieron. “Nuestro enfoque principal es la seguridad de nuestros LP. No ha habido exploit. Recibimos un mensaje y estamos actuando en consecuencia.”

El valor total bloqueado (TVL) del protocolo se situó en aproximadamente 1,75 millones de USD en el momento de la alerta, con retiros significativos ya en marcha y una gran parte de los fondos concentrada en una sola billetera. El TVL limitado acotaba el alcance de cualquier riesgo potencial. Los trabajadores de TI vinculados a la DPRK infiltrándose en proyectos cripto y DeFi es un patrón documentado que abarca al menos siete años.

Estos operadores frecuentemente se hacen pasar por desarrolladores japoneses u otros desarrolladores extranjeros para obtener acceso interno. Autoridades estadounidenses e investigadores independientes han señalado a trabajadores norcoreanos sospechosos dentro de más de 40 plataformas DeFi.

El reciente exploit de Drift Protocol en Solana, estimado en aproximadamente 280 millones de USD y atribuido a presuntos actores norcoreanos, implicó meses de ingeniería social en lugar de una vulnerabilidad de contrato inteligente.

Stabble encaja en el perfil de un proyecto vulnerable a riesgos del equipo heredado. La nueva gestión heredó una base de código e historial de contribuyentes que no habían auditado completamente. Su decisión de pausar las operaciones y solicitar auditorías nuevas a firmas importantes refleja una postura preventiva sobre la “apariencia” del caso.

El equipo reportó avances operativos en las semanas previas al incidente, incluyendo un TVL duplicado, un aumento de ingresos de tres a cuatro veces y un incremento del precio del 100 por ciento. Esas ganancias siguen intactas, ya que no se perdieron fondos y el protocolo continúa procesando retiros.

La divulgación de ZachXBT vinculó a Watanabe con el fundador de Elemental “Moo” durante comentarios sobre el hack de Drift, con Stabble atrapado en el señalamiento más amplio por su asociación previa con la misma persona. La exposición entre proyectos resalta cómo un único actor malicioso confirmado puede propagarse a múltiples protocolos.

“Dejen el postureo de virtud que convenientemente omitiste el hecho de que tenías a un trabajador de TI de la DPRK en nómina en Elemental durante años”, comentó ZachXBT.

Moo rechazó la acusación de postureo de virtud y cambió el foco hacia la rendición de cuentas. El fundador de Elemental argumentó que cuando ocurren fallas importantes, el estándar mínimo es reconocer errores, comunicar de manera transparente y enfrentar a los usuarios directamente.

La respuesta de la comunidad sobre el manejo de Stabble estuvo dividida. Algunos usuarios dieron crédito al equipo por una acción transparente y rápida. Otros criticaron el encuadre brusco de “EMERGENCIA” como probable causante de pánico innecesario ante la ausencia de una amenaza confirmada.

El equipo de Stabble planea contactar a firmas importantes de auditoría antes de reabrir las operaciones de liquidez. No se ha confirmado un cronograma. Los proyectos cripto de todos los tamaños siguen enfrentando presión para evaluar a los contribuyentes mediante verificaciones de antecedentes, aislamiento de revisión de código y controles de privilegios. El incidente de Stabble se suma a una lista creciente de casos donde el fraude de identidad vinculado a la DPRK llegó a proyectos mucho después de que el operador se hubiera movido.