ZachXBT: Circle griff nicht ein, als mehr als 230 Mio. USDC über eigenes Bridge-Protokoll abflossen

Circle, Emittent des weltweit zweitgrößten Stablecoins USDC, steht wegen mutmaßlicher Untätigkeit nach einem groß angelegten Diebstahl in der Kritik. Der Blockchain-Ermittler ZachXBT wirft dem Unternehmen vor, einen Abfluss von über 230 Mio. USDC über die eigene Cross-Chain-Infrastruktur zugelassen zu haben, obwohl dafür rund sechs Stunden Zeit zur Intervention bestanden habe. Nach ZachXBT's Darstellung stammen die Mittel aus dem Exploit beim Drift Protocol vom 1. April. Der Gesamtschaden wird auf 280 bis 285 Mio. US-Dollar beziffert und zählt damit zu den größten Vorfällen in der DeFi-Geschichte. Der Angreifer habe die USDC in mehr als 100 einzelnen Transaktionen über Circles Cross-Chain Transfer Protocol (CCTP) von Solana nach Ethereum transferiert. Beim Angriff auf Drift Protocol sei laut Bericht kein klassischer Smart-Contract-Fehler ausgenutzt worden. Stattdessen habe der Täter administrative Berechtigungen auf operativer Ebene kompromittiert. Die Ausführung habe etwa 12 Minuten gedauert. Zum Einsatz gekommen seien vorab signierte Transaktionen in Verbindung mit "durable nonces", wodurch Abhebungen vorbereitet und in schneller Folge ausgelöst werden konnten. Am Markt zeigte sich die Wirkung unmittelbar: Der DRIFT-Token fiel im Anschluss um 98% von seinem Allzeithoch bei 2,65 US-Dollar und handelte danach in einer Spanne von 0,041 bis 0,06 US-Dollar. Im Zentrum der Debatte steht weniger der Angriff selbst als die Rolle von Circle. USDC unterscheidet sich von dezentralen Stablecoins dadurch, dass Circle Token in Wallets einfrieren kann. Seit der Einführung von USDC habe das Unternehmen nach eigenen bzw. öffentlichen Nachverfolgungen insgesamt rund 110 Mio. US-Dollar in verschiedenen Wallets eingefroren, meist im Zusammenhang mit Behördenanfragen oder Sanktions-Compliance. ZachXBT zufolge wurde der Drift-Vorfall öffentlich gemacht und breit diskutiert, während die Gelder noch bewegt wurden. Die Bridge-Transfers hätten während regulärer Geschäftszeiten stattgefunden. Dennoch seien über einen Zeitraum von rund sechs Stunden mehr als 230 Mio. USDC über CCTP von Solana nach Ethereum gelangt, ohne dass Circle die Transfers stoppte oder die beteiligten Wallets einfror. Besonders heikel wirkt der Zeitpunkt, weil Beobachter darauf hinweisen, dass Circle wenige Tage zuvor andere Wallets zügig auf eine Blacklist gesetzt habe – in Fällen, die Teile der Branche als fragwürdig bewerteten. Daraus entsteht der Vorwurf, dass Eingriffe selektiv erfolgen. Die Bedeutung reicht über Drift hinaus. USDC ist zentraler Baustein in zahlreichen DeFi-Protokollen, Lending-Plattformen und Handelsplätzen. Allein im Februar 2025 habe USDC ein On-Chain-Volumen von 9,6 Billionen US-Dollar verarbeitet. Wenn der Betreiber einer derart wichtigen Infrastruktur während eines laufenden Diebstahls dieser Größenordnung nicht eingreift, betrifft das das Vertrauen in die Risikoprämissen rund um zentrale Stablecoins. Die Kernfrage ist altbekannt: Die Einfrierfunktion ist zugleich regulatorisches Verkaufsargument und umstrittenes Machtinstrument. Befürworter sehen darin einen Sicherheitsmechanismus zur Rückholung gestohlener Gelder. Kritiker verweisen auf einen Single Point of Failure und auf Ermessensspielräume. Der Drift-Fall liefert ihnen neue Munition. Wenn Wallets auf staatliche Anfragen hin eingefroren werden, bei einem der größten DeFi-Diebstähle aber nicht, wirkt die Funktion weniger wie Schutz und mehr wie Compliance-Theater – die Möglichkeit zu helfen ist da, der Einsatz erscheint inkonsistent. Für institutionelle Investoren, die DeFi zunehmend beobachten, könnte das Konsequenzen haben. Annahmen, wonach zentralisierte Stablecoin-Emittenten in Krisen als Auffangnetz fungieren und USDC damit quasi-versichert sei, könnten in Risikomodellen neu bewertet werden. Circle hat bislang keine detaillierte öffentliche Begründung geliefert. Denkbar sind rechtliche oder prozessuale Hürden, etwa interne Vorgaben, die ein Eingreifen erst nach konkreten Anfragen von Strafverfolgungsbehörden erlauben. In der Praxis zählen im Kryptomarkt jedoch Wahrnehmung und Vertrauen, und beides leidet. Auch regulatorisch dürfte der Fall nachwirken. In laufenden Debatten über Stablecoin-Gesetze in den USA und anderen Jurisdiktionen könnte der Vorfall als Argument dienen, strengere Aufsichtsrahmen zu fordern. Wenn ein Unternehmen mit historisch rund 110 Mio. US-Dollar an eingefrorenen USDC und Echtzeit-Einblick in das eigene Protokoll 230 Mio. USDC nicht stoppt, stellt sich die Frage nach Zweck und Effektivität des Compliance-Apparats. Wettbewerblich könnte das den Blick auf alternative Stablecoin-Modelle lenken, etwa stärker dezentralisierte Lösungen wie DAI oder neue besicherte Designs, falls Nutzer und Protokolle ihre Abhängigkeit vom Emittentenrisiko neu bewerten. Die Debatte um Dezentralisierung bekommt damit ein Fallbeispiel im Umfang von 230 Mio. US-Dollar. Für Drift Protocol selbst sind die Perspektiven düster. Ein Kursverlust von 98% schmälert nicht nur Vermögenswerte auf dem Papier, sondern trifft auch Treasury, Entschädigungsfähigkeit und Attraktivität für Entwickler und Nutzer. Erholungen nach Exploits dieser Größenordnung sind selten – erst recht, wenn die Erwartung im Raum steht, dass ein Stablecoin-Emittent hätte eingreifen können, es aber nicht tat. Unterm Strich hat der Drift-Exploit bereits für sich genommen historische Dimensionen. Der Vorwurf, Circle habe in einem sechs Stunden langen Zeitfenster zugesehen, während mehr als 230 Mio. USDC über das eigene Bridge-Protokoll abflossen, macht daraus eine Grundsatzdebatte: Wenn zentralisierte Stablecoin-Emittenten ihre außergewöhnlichen Eingriffsmöglichkeiten nicht bei außergewöhnlichen Diebstählen nutzen, wofür existieren diese Befugnisse dann?