Circle no intervino mientras USDC robados por valor de 230 millones de dólares cruzaban su puente

Circle, emisor de USDC —la segunda mayor "stablecoin" del mundo—, está en el punto de mira tras las acusaciones de haber permanecido pasiva mientras un atacante movía más de 230 millones de dólares en USDC robados a través de su propia infraestructura "cross-chain". El investigador on-chain ZachXBT asegura que la compañía dispuso de unas seis horas para actuar y no lo hizo. Los fondos procederían del exploit de Drift Protocol del 1 de abril, un golpe estimado entre 280 y 285 millones de dólares, ya considerado uno de los mayores robos en la historia de las DeFi. Según el análisis de ZachXBT, el atacante transfirió USDC desde Solana a Ethereum mediante el Cross-Chain Transfer Protocol (CCTP) de Circle, repartiendo el movimiento en más de 100 transacciones. Qué ocurrió en Drift Protocol El ataque se ejecutó con rapidez. En lugar de aprovechar un fallo en un contrato inteligente, el atacante habría comprometido permisos administrativos a nivel operativo, logrando un control equivalente a hacerse con la llave maestra. La operación duró alrededor de 12 minutos. El método incluyó transacciones prefirmadas apoyadas en "durable nonces", lo que permitió preparar retiradas con antelación y ejecutarlas en cadena en muy poco tiempo. Cuando el incidente se detectó, la bóveda ya estaba vacía. El impacto en el token DRIFT fue severo: cayó un 98% desde su máximo histórico de 2,65 dólares y pasó a cotizar en el rango de 0,041 a 0,06 dólares tras el exploit. El botín total, entre 280 y 285 millones de dólares, sitúa el caso entre los cinco mayores ataques DeFi registrados. La ventana de seis horas de Circle USDC se diferencia de las stablecoins totalmente descentralizadas por un elemento clave: Circle puede congelar USDC en cualquier dirección. Es una capacidad diseñada para escenarios como el de un robo en curso. Desde el lanzamiento de USDC, Circle ha congelado aproximadamente 110 millones de dólares en distintas carteras, por lo general ante requerimientos de fuerzas de seguridad o por cumplimiento de sanciones. ZachXBT sostiene que el exploit de Drift se anunció públicamente y se debatió mientras los fondos robados seguían moviéndose. El puenteo a través de CCTP se produjo en horario laboral y, en teoría, el equipo de cumplimiento de Circle habría tenido margen para identificar y congelar los fondos. Aun así, más de 230 millones de dólares en USDC cruzaron de Solana a Ethereum sin intervención, en más de 100 operaciones distribuidas durante unas seis horas. El episodio resulta especialmente incómodo por el contexto: observadores del sector señalan que, pocos días antes del exploit de Drift, Circle actuó con rapidez para incluir otras carteras en listas negras en circunstancias que parte de la industria consideró discutibles. Esto alimenta la percepción de que la agilidad para intervenir no se aplica de forma uniforme. Implicaciones más allá de un único hack USDC no es un activo marginal. Solo en febrero de 2025 procesó 9,6 billones de dólares de volumen on-chain. Es una pieza central en decenas de protocolos DeFi, plataformas de préstamo y mercados de negociación. Si quien controla esa infraestructura no actúa en un robo activo de esta magnitud, las consecuencias exceden el caso de Drift. El debate vuelve a la tensión de fondo en las stablecoins centralizadas: la capacidad de congelación es a la vez un argumento regulatorio a favor y el punto más controvertido. Para sus defensores, eleva la seguridad y facilita la recuperación de fondos robados. Para sus críticos, introduce un punto único de fallo y, sobre todo, un poder discrecional. El incidente de Drift refuerza la lectura crítica. Si la congelación se ejecuta a petición de gobiernos pero no ante uno de los mayores robos DeFi, la función se percibe menos como un mecanismo de seguridad y más como un elemento de cumplimiento selectivo. Para inversores institucionales que se acercaban a las DeFi, esto obliga a recalibrar expectativas: la idea de que el emisor de una stablecoin centralizada actuaría como red de seguridad durante crisis se muestra menos fiable, y los modelos de riesgo que trataban a USDC como cuasi asegurado podrían requerir revisión. Por ahora, Circle no ha explicado públicamente por qué no intervino. Podrían existir razones legales o procedimentales no divulgadas, como protocolos internos que exijan una solicitud formal de las autoridades incluso ante robos evidentes. Aun así, el daño reputacional es significativo y, en cripto, confianza y percepción suelen ir de la mano. También se anticipa impacto regulatorio. Legisladores que trabajan en marcos legales para stablecoins en EE. UU. y otros países podrían usar el caso para cuestionar qué persigue exactamente el aparato de cumplimiento si una entidad con visibilidad en tiempo real sobre su protocolo y un historial de congelaciones por 110 millones de dólares no detiene —o no puede detener— 230 millones de dólares que atraviesan su infraestructura. En paralelo, podrían ganar tracción modelos alternativos de stablecoins, desde opciones descentralizadas como DAI hasta diseños colateralizados más recientes, si usuarios y protocolos reevalúan su exposición al riesgo de un emisor centralizado. La descentralización deja de ser solo un argumento filosófico y suma un caso práctico de 230 millones de dólares. Para Drift Protocol, el panorama es complejo. Un desplome del 98% no solo implica pérdidas de mercado: reduce la tesorería del protocolo, limita la capacidad de compensar a las víctimas y dificulta atraer desarrolladores o usuarios. Recuperarse de exploits de este tamaño es infrecuente; hacerlo cuando el emisor de la stablecoin podía haber ayudado y no lo hizo es un terreno prácticamente inexplorado. Conclusión El exploit de Drift Protocol ya era grave por sí mismo. La presunta inacción de Circle durante una ventana de seis horas, mientras más de 230 millones de dólares en USDC robados cruzaban su propio protocolo de puente, convierte el episodio en algo más estructural: reabre una pregunta incómoda para la industria. Si los emisores de stablecoins centralizadas no utilizan sus poderes extraordinarios ante robos extraordinarios, ¿para qué sirven realmente esos poderes?