La DEX Solana avertit les fournisseurs de liquidité de se retirer après qu’un lien avec un employé nord-coréen ait été mis en évidence

Stabble, une bourse décentralisée (DEX) basée sur Solana, a exhorté mardi l’ensemble des apporteurs de liquidité à retirer leurs fonds immédiatement après que l’enquêteur onchain ZachXBT a lié publiquement un ancien employé à des activités informatiques présumées d’origine nord-coréenne.

Points clés :

• Stabble a exhorté l’ensemble des apporteurs de liquidité à retirer leurs fonds le 7 avril 2026, après que ZachXBT a signalé un ancien employé comme un agent présumé de la DPRK.
• Aucune exploitation (exploit) ni brèche n’a eu lieu sur Stabble, et le TVL du protocole s’établissait à environ 1,75 million de dollars au moment de l’alerte.
• La nouvelle équipe de Stabble prévoit de nouvelles audits avant de reprendre les opérations normales, après une prise de contrôle intervenue environ quatre semaines auparavant.

La DEX Solana Stabble lance un retrait d’urgence des LP

L’ancien employé a été identifié comme Keisuke Watanabe, opérant sous des alias incluant kasky53, keisukew53, kdevdivvy et 0xWoo sur GitHub et des plateformes sociales. ZachXBT a divulgué le nom complet de Watanabe, des adresses de portefeuille associées sur Solana et Ethereum, un email, ainsi que des documents d’OSINT à l’appui lors d’un post public sur X adressé à Elemental, un projet d’infrastructure DeFi sur Solana dans lequel Watanabe avait aussi travaillé.

L’équipe de nouvelle direction de Stabble, qui a pris le contrôle du projet environ quatre semaines avant la divulgation, a confirmé que l’ancien employé avait travaillé chez Stabble environ un an plus tôt. L’équipe a déclaré qu’il n’y avait eu aucun exploit, aucune brèche et aucun incident de sécurité connu de quelque nature que ce soit. Le post d’urgence depuis le compte Stabble sur X indiquait :

“URGENCE ! les gars veuillez retirer temporairement votre liquidité instantanément ! Mieux vaut prévenir que guérir. La nouvelle équipe stabble.”

Dans une déclaration de suivi, l’équipe a précisé sa position. « Nous ne sommes pas des gens de la communication PR, nous sommes des quant et des early DeFi degens », ont-ils écrit. « Notre priorité absolue est la sécurité de nos LP. Il n’y a eu aucun exploit. Nous avons reçu un message et nous agissons en conséquence. »

La valeur totale verrouillée du protocole s’élevait à environ 1,75 million de dollars au moment de l’alerte, avec des retraits déjà bien engagés et une large portion des fonds concentrée dans un seul portefeuille. Le TVL limité définissait l’étendue de tout risque potentiel. Les travailleurs IT liés à la DPRK infiltrant des projets de crypto et de DeFi est un schéma documenté s’étendant sur au moins sept ans.

Ces agents se font souvent passer pour des développeurs japonais ou d’autres développeurs étrangers afin d’obtenir un accès en interne. Les autorités américaines et des chercheurs indépendants ont signalé des travailleurs nord-coréens présumés au sein de plus de 40 plateformes DeFi.

L’exploit récent du protocole Drift sur Solana, estimé à environ 280 millions de dollars et attribué à des acteurs nord-coréens présumés, reposait sur une ingénierie sociale sur plusieurs mois plutôt que sur une vulnérabilité de smart contract.

Stabble correspond au profil d’un projet vulnérable aux risques liés à une équipe historique. La nouvelle direction a hérité d’une base de code et d’un historique de contributeurs qu’elle n’avait pas entièrement audités. Leur décision de mettre les opérations en pause et de demander de nouveaux audits à de grands cabinets traduit une posture de précaution plutôt qu’une simple question d’image.

L’équipe a fait état de progrès opérationnels dans les semaines précédant l’incident, notamment un TVL doublé, une hausse des revenus de 3 à 4 fois et une augmentation de 100 % du prix. Ces gains restent intacts, car aucun fonds n’a été perdu et le protocole continue de traiter les retraits.

La divulgation de ZachXBT a relié Watanabe au fondateur d’Elemental « Moo » lors de commentaires sur le piratage de Drift, Stabble étant pris dans l’appel plus large via son association préalable avec la même personne. L’exposition transversale montre comment un seul acteur malveillant confirmé peut se répercuter sur plusieurs protocoles.

« Arrêtez le signalement de vertu que vous avez commodement omis de mentionner le fait que vous aviez un travailleur IT de la DPRK sur votre paie chez Elemental pendant des années », a déclaré ZachXBT.

Moo a rejeté l’accusation de signalement de vertu et a déplacé l’attention sur la responsabilité. Le fondateur d’Elemental a fait valoir qu’en cas de défaillances majeures, le minimum est de reconnaître les erreurs, de communiquer de manière transparente et de faire face directement aux utilisateurs.

La réaction de la communauté face à la gestion de Stabble a été partagée. Certains utilisateurs ont crédité l’équipe pour une action transparente et rapide. D’autres ont critiqué le cadrage brutal « URGENCE » comme susceptible de provoquer une panique inutile en l’absence de menace confirmée.

L’équipe de Stabble prévoit de contacter de grands cabinets d’audit avant de rouvrir les opérations de liquidité. Aucun calendrier n’a été confirmé. Les projets crypto de toutes tailles continuent de subir une pression pour évaluer les contributeurs via des vérifications d’antécédents, l’isolement lors de la revue de code et des contrôles de privilèges. L’incident de Stabble s’ajoute à une liste croissante d’affaires où la fraude d’identité liée à la DPRK a atteint des projets bien après que l’opérateur ait quitté la scène.