O pesquisador de Blockchain ZachXBT acusou publicamente a Circle de não ter conseguido congelar USDC roubados por meio de sua infraestrutura cross-chain durante a exploração do Drift Protocol de US$ 285 milhões em 1º de abril de 2026, levantando questões incisivas sobre quando e por que os emissores de stablecoin escolheram exercer poderes de congelamento.
resumo
O hack do Drift Protocol em 1º de abril foi a maior exploração de DeFi de 2026, drenando mais de US$ 285 milhões de uma bolsa de futuros perpétuos baseada em Solana. Os invasores transferiram aproximadamente US$ 232 milhões de USDC de Solana para Ethereum por meio do CCTP da Circle em mais de 100 transações durante seis horas consecutivas, sem nenhuma ação da Circle. A extensa lista de registros da ZachXBT inclui 15 casos totalizando mais de US$ 420 milhões por suspeitas de violações de conformidade do Círculo a partir de 2022
O ataque de 1º de abril ao Drift, uma exchange perpétua descentralizada com sede em Solana, foi relatado pela empresa de segurança PecShield. Os invasores usaram oráculos manipulados e chaves administrativas comprometidas para esvaziar o cofre principal do Drift em cerca de 12 minutos, de acordo com a empresa de análise de blockchain Arkham. O valor total bloqueado do Drift passou de cerca de US$ 550 milhões para menos de US$ 300 milhões em menos de uma hora. O token DRIFT caiu mais de 40%. Além disso, foram relatadas falhas em mais de 10 protocolos Solana.
Depois de converter a maior parte dos ativos roubados em USDC, os invasores usaram o Cross-Chain Transfer Protocol (CCTP) da Circle para transferir aproximadamente US$ 232 milhões de Solana para Ethereum em mais de 100 transações durante seis horas consecutivas durante o horário comercial dos EUA.
“A Circle estava dormindo enquanto milhões de USDC eram trocados de Solana para Ethereum via CCTP por horas a partir de um hack de desvio de 9 dígitos durante o horário dos EUA”, escreveu ZachXBT no X.
Dado o momento, as críticas foram ainda mais contundentes. Apenas nove dias atrás, em 23 de março, a Circle congelou USDC em 16 carteiras comerciais não relacionadas, incluindo uma pertencente à Fundação DFINITY, como parte de um processo civil selado nos EUA. ZachXBT disse que o congelamento foi “provavelmente a ação mais incompetente” que ele testemunhou em cinco anos de investigações na rede.
O contraste entre a ação agressiva contra empresas legítimas e a inação enquanto uma exploração de nove dígitos era vista passando pelas próprias pontes da Circle reacendeu o debate sobre como a governança centralizada da stablecoin realmente funciona. O pesquisador de segurança Spector observou que os invasores evitaram intencionalmente a conversão de fundos para o USDT da Tether e pareciam confiantes de que a Circle não interviria.
proteção do círculo
A Circle respondeu: “A Circle é uma empresa regulamentada que cumpre sanções, ordens de aplicação da lei e requisitos impostos pelos tribunais. Aderimos ao estado de direito e à forte proteção dos direitos e privacidade do usuário, e congelamos ativos quando legalmente exigido.”
Salman Banei, conselheiro geral da Plume, alertou que o congelamento de ativos sem permissão poderia expor a Circle a responsabilidades legais. Ben Levitt, CEO da empresa de classificação de stablecoin Bluechip, descreveu a situação como uma “área cinzenta” e observou que se tratava de uma exploração do oráculo, e não de um hack limpo. A empresa de análise de blockchain Elliptic identificou vários indicadores que sugerem que os hackers norte-coreanos são responsáveis pela exploração do Drift.
O hack de US$ 285 milhões do Drift marca uma reversão clara, já que as perdas decorrentes de hacks de criptomoedas caíram significativamente nos meses que antecederam esse incidente, e o debate circular que ele desencadeou pode ter um impacto duradouro sobre como o quadro regulatório mais amplo da stablecoin é redigido, particularmente no que diz respeito aos poderes de congelamento e à responsabilidade do emissor.
