La società di analisi on-chain ZachXBT ha pubblicato un nuovo rapporto, intitolato "The Circle USDC Files", in cui si denunciano violazioni delle norme di conformità per oltre 420 milioni di dollari legate alla stablecoin USDC della società a partire dal 2022.
L'analisi, pubblicata venerdì sulla piattaforma social X, descrive una serie di importanti attacchi informatici nel settore della finanza decentralizzata (DeFi) in cui Circle avrebbe omesso di utilizzare le proprie funzionalità di blocco on-chain e di inserimento in blacklist per arrestare il flusso di fondi rubati.
Presunta inerzia da parte del Circolo
Il contratto del token di Circle include una funzione esplicita di blocco/inserimento in lista nera, e i termini di servizio dell'azienda si riservano il diritto di limitare l'accesso a soggetti sospettati di attività illecite "a sua esclusiva discrezione".
Tuttavia, il rapporto di ZachXBT afferma che in molti furti e attacchi informatici ampiamente riportati dai media, l'emittente ha ritardato l'intervento o non ha bloccato affatto i fondi, consentendo agli aggressori di trasferire ingenti somme tra le blockchain e di convertirle in altri asset.
Il rapporto si apre con l'exploit del protocollo Drift del 1° aprile 2026, in cui l'attaccante ha sottratto circa 280 milioni di dollari. Secondo ZachXBT, il ladro ha utilizzato il Cross-Chain Transfer Protocol (CCTP) di Circle per trasferire oltre 232 milioni di USDC da Solana (SOL) a Ethereum (ETH) in oltre 100 transazioni.
L'incidente ha avuto ripercussioni a catena sull'intero ecosistema di Solana , influenzando indirettamente più di 10 progetti DeFi. Nonostante i fondi siano transitati attraverso il bridge nativo di Circle per ore, il rapporto afferma che nessun USDC è stato bloccato durante il riciclaggio.
ZachXBT descrive anche un attacco a SwapNet avvenuto il 25 gennaio 2026, che ha portato al furto di 16 milioni di dollari. Circa 3 milioni di dollari in USDC sono rimasti nell'indirizzo dell'attaccante per due giorni. Sia le forze dell'ordine che gli analisti del settore privato avrebbero inviato a Circle richieste di blocco temporaneo per quell'indirizzo, ma Circle non ha intrapreso alcuna azione.
Perdite a nove cifre a causa di attacchi hacker alle criptovalute.
Tra i numerosi casi citati nel rapporto, ZachXBT evidenzia anche schemi più ampi e di lunga data. Nell'aprile del 2024, ha pubblicato un'indagine separata sul riciclaggio di denaro del Lazarus Group , che ha rintracciato i fondi provenienti da oltre una ventina di attacchi informatici convertiti in valuta fiat.
Le forze dell'ordine hanno richiesto il congelamento di due indirizzi collegati a quell'indagine a quattro emittenti di stablecoin: Circle, Tether, Paxos e Techteryx. Il rapporto afferma che gli altri tre emittenti hanno agito rapidamente, mentre Circle ha impiegato circa 4 mesi e mezzo in più per congelare gli stessi indirizzi.
Nel complesso, ZachXBT afferma che questi casi, molti dei quali pubblici e di elevato valore, ammontano a perdite a nove cifre per l'ecosistema delle criptovalute, causate dalla ripetuta inerzia protrattasi per diversi anni.
Sottolinea che la cifra di oltre 420 milioni di dollari si riferisce solo a incidenti pubblici di rilievo e che il totale reale potrebbe essere sostanzialmente più elevato. L'accusa principale è che Circle possieda gli strumenti contrattuali e tecnici per intervenire, ma non li abbia utilizzati in modo coerente o tempestivo, causando danni concreti alle vittime e alla comunità in generale.
«Hanno a disposizione tutti gli strumenti e le risorse per fare meglio. Semplicemente non lo hanno fatto», scrive, concludendo il suo rapporto con una domanda precisa: a chi si rivolge esattamente Circle?
Immagine principale tratta da OpenArt, grafico da TradingView.com