Stabble, децентрализованная криптобиржа на Solana, потеряла 62% от общей заблокированной стоимости (TVL) за одну торговую сессию во вторник после того, как новая команда управления протокола выпустила экстренное уведомление о выводе средств. По данным DeFiLlama, TVL упала с примерно 1,75 миллиона долларов до менее чем 663 000 долларов в течение нескольких часов.
Снижение было инициировано протоколом, а не атакой злоумышленника, что само по себе является необычным, но измеримым рисковым событием.
Триггерное условие: ончейн-следователь ZachXBT идентифицировал предполагаемого северокорейского агента, действовавшего под именем Кэйсукэ Ватанабэ, как бывшего технического директора Stabble — должность, которую этот человек, по сообщениям, занимал до 2025 года.
Новая команда управления, принявшая контроль над протоколом примерно за четыре недели до этого, опубликовала недвусмысленное предупреждение в X в 9:34 утра по восточному времени (ET), примерно через семь часов после того, как идентификация ZachXBT стала публичной.
- TVL Stabble рухнул на 62% — с 1,75 миллиона до менее чем 663 000 долларов — в течение нескольких часов после экстренного оповещения 7 апреля 2026 года.
- Ончейн-следователь ZachXBT идентифицировал бывшего технического директора Stabble, действовавшего под именем Кэйсукэ Ватанабэ, как предполагаемого северокорейского агента.
- Эксплойт или взлом средств не подтверждены; новая команда Stabble проводит аудиты, призывая к полному выводу ликвидности в качестве превентивной меры.
- Предупреждение следует за схемой проникновения ИТ-работников, связанных с КНДР, задокументированной в секторе DeFi на протяжении как минимум семи лет.
Бывший технический директор помечен как агент КНДР — что на самом деле означает раскрытие архитектуры
Структурный риск в этом сценарии заключается не в активном эксплойте, а в возможности существования спящих бэкдоров, скомпрометированной инфраструктуры управления ключами или встроенной логики в смарт-контрактах, написанных или проверенных актором, связанным с государством и имеющим нераскрытый доступ.
Бывший технический директор имел прямой доступ на запись к основному коду протокола, административным ключам на этапе разработки и полное представление о структуре контрактов.
Новая команда Stabble не раскрыла, были ли предусмотрены механизмы обновления смарт-контрактов, а также сохранил ли бывший технический директор какие-либо полномочия подписи мультисиг после перехода управления.
Эти детали имеют значение: обновляемые прокси-контракты, контролируемые даже частично скомпрометированным ключом, представляют собой активный, а не исторический вектор атаки. Команда подтвердила, что проводит аудит для оценки полного масштаба раскрытия уязвимостей.
Сообщается, что разработчик также работал над Elemental, связанным проектом DeFi на Solana, — деталь, которая расширяет потенциальную поверхность атаки за пределы пулов ликвидности Stabble и затрагивает связанную инфраструктуру протокола. На момент публикации ни на одной из платформ эксплойт не был раскрыт.
Эта модель проникновения — ИТ-работники, связанные с КНДР, получающие должности разработчиков в криптофирмах под вымышленными именами — представляет собой задокументированную операционную схему, охватывающую как минимум семь лет, с возрастающей операционной изощренностью, нацеленной конкретно на DeFi-протоколы.
Экосистема Solana испытывает устойчивое давление со стороны связанных с государством акторов, и темпы подтвержденных инцидентов ускоряются в начале 2026 года.
Новая команда Stabble Crypto выпускает экстренное оповещение
Публичная реакция команды Stabble была прямой и недвусмысленной. В сообщении, опубликованном в X, говорилось: «ЭКСТРЕННО! Ребята, пожалуйста, немедленно временно выведите свою ликвидность! Лучше перестраховаться, чем потом жалеть».
Это заявление имеет операционный вес именно потому, что оно исходило от нового руководства — по их собственному описанию, количественных аналитиков и ранних участников DeFi, а не от специалистов по связям с общественностью, управляющих нарративом.
Последующий пост уточнил позицию команды: «Мы получили сообщение и действуем на его основе, наша главная цель — безопасность наших LP. Мы не PR-люди, мы кванты и ранние дегены DeFi. Мы вас слышим, и ваше мнение имеет значение».
Сообщение ставило защиту капитала LP выше оптики протокола — это можно оправдать, учитывая подтвержденную личность бывшего технического директора.
Семичасовой разрыв между публичной идентификацией ZachXBT и официальным экстренным оповещением предполагает, что команда потратила это время на оценку внутреннего раскрытия уязвимостей, прежде чем обнародовать информацию. Была ли эта оценка продуктивной, не раскрывается.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Balaha
