ZachXBT обвиняет Circle в бездействии: через CCTP вывели украденные USDC на $230 млн

Компания Circle, эмитент второго по капитализации стейблкоина USDC, оказалась в центре критики после того, как хакер, по утверждениям исследователя ZachXBT, провел через ее собственную кроссчейн-инфраструктуру более $230 млн украденных средств. Следователь заявляет, что у Circle было около шести часов, чтобы вмешаться, но этого не произошло. Источник средств — взлом Drift Protocol 1 апреля. Общий ущерб оценивается в диапазоне $280–$285 млн, что делает инцидент одним из крупнейших в истории DeFi. По данным ZachXBT, злоумышленник перевел USDC с Solana на Ethereum через Cross-Chain Transfer Protocol (CCTP) от Circle, разбив вывод более чем на 100 отдельных транзакций. Как был устроен взлом Drift Protocol Атака была проведена не через типичную ошибку смарт-контракта. По описанию, компрометация произошла на операционном уровне: злоумышленник получил административные права Drift Protocol. Вся операция заняла около 12 минут. Хакер использовал предварительно подписанные транзакции с применением durable nonces — механизм, позволивший заранее подготовить серию выводов и затем быстро отправить их подряд. Когда проблему заметили, хранилища уже были пусты. Реакция токена DRIFT оказалась разрушительной: падение на 98% от исторического максимума $2.65. После инцидента он торговался в диапазоне $0.041–$0.06. На этом фоне основной фокус дискуссии сместился с самого взлома на действия — точнее, их отсутствие — со стороны Circle. Окно в шесть часов и вопрос о "переключателе" USDC USDC отличается от децентрализованных стейблкоинов тем, что Circle может замораживать токены в конкретных кошельках. Это давно рассматривается как инструмент управления рисками и соблюдения требований. По публичным данным, с момента запуска USDC Circle заморозила около $110 млн в разных адресах — обычно по запросам правоохранительных органов или в рамках санкционного комплаенса. ZachXBT утверждает, что о взломе Drift Protocol было известно публично, пока украденные средства еще перемещались, а переводы через CCTP шли в рабочее время. С его точки зрения, у команды комплаенса Circle была возможность отследить поток и остановить его. Тем не менее более $230 млн USDC были переведены с Solana на Ethereum без вмешательства — свыше 100 транзакций за примерно шесть часов. Ситуацию осложняет контекст: наблюдатели указывают, что всего несколькими днями ранее Circle оперативно добавляла в черный список другие кошельки, и в отрасли часть таких действий считали спорными. Это усилило тезис о том, что скорость реакции может зависеть от обстоятельств. Почему история выходит за рамки одного взлома USDC — не нишевый актив. В феврале 2025 года он обеспечил $9.6 трлн ончейн-оборота. Стейблкоин используется как базовая ликвидность во множестве DeFi-протоколов, на кредитных платформах и торговых площадках. Если структура, контролирующая ключевые механизмы, не вмешивается при краже такого масштаба, это поднимает вопросы системного уровня. Суть противоречия вокруг централизованных стейблкоинов давно известна: возможность заморозки — одновременно и аргумент в пользу регулирования, и наиболее спорная функция. Сторонники говорят, что это делает USDC безопаснее, поскольку украденное можно заблокировать. Критики считают, что это создает единую точку отказа и, что важнее, единую точку усмотрения. Инцидент с Drift Protocol, по мнению критиков, демонстрирует непоследовательность применения этого инструмента. Для институциональных инвесторов, которые постепенно увеличивают интерес к DeFi, ситуация выглядит как пересмотр базовых предпосылок. Модели риска, воспринимавшие USDC как квази-застрахованный актив, могут потребовать корректировки. Circle публично не объяснила, почему не вмешалась. Возможны юридические или процедурные ограничения, например необходимость формального запроса от правоохранителей даже при очевидной краже. Но в криптоиндустрии доверие во многом определяется восприятием, и репутационные последствия уже заметны. Регуляторный контур также может измениться. Законодатели в США и других юрисдикциях, обсуждающие правила для стейблкоинов, вероятно, будут ссылаться на этот кейс при оценке того, насколько эффективна комплаенс-инфраструктура эмитента. Если компания, которая ранее замораживала около $110 млн и имеет видимость операций внутри собственного протокола, не остановила вывод $230 млн через свою инфраструктуру, возникает вопрос о назначении таких механизмов. Есть и конкурентный аспект: альтернативные модели стейблкоинов — от более децентрализованных решений вроде DAI до новых схем с обеспечением — могут получить дополнительный импульс, если пользователи и протоколы начнут переоценивать риски зависимости от централизованного эмитента. Для Drift Protocol перспективы остаются тяжелыми: падение токена на 98% подрывает казначейство, осложняет компенсации и снижает шансы на восстановление. Итог Сам по себе взлом Drift Protocol стал одним из крупнейших в DeFi. Но заявления о том, что Circle в течение примерно шести часов не вмешалась, пока через CCTP проходили украденные USDC на сумму свыше $230 млн, переводят историю в более фундаментальную плоскость. Рынок вновь задается вопросом: если эмитент централизованного стейблкоина не использует исключительные полномочия в исключительных ситуациях, для чего эти полномочия вообще существуют?