L'investigatore onchain ZachXBT ha accusato Circle di non essere intervenuta mentre milioni di USDC rubati transitavano liberamente attraverso il suo bridge cross-chain durante l'exploit del protocollo Drift da 285 milioni di dollari.
Le critiche sono seguite all'attacco del 1° aprile contro l'exchange decentralizzato con sede a Solana, che si classifica come il più grande exploit DeFi del 2026 finora.
Circle subisce critiche per l'inazione del CCTP
Il 1° aprile, Drift Protocol, una piattaforma di future perpetui su Solana (SOL), ha subito un massiccio prelievo di fondi dal suo vault. La società di sicurezza PeckShield e la piattaforma di analisi blockchain Arkham Intelligence hanno segnalato deflussi per circa 285 milioni di dollari dal vault principale di Drift verso wallet controllati dagli hacker.
L'attaccante ha spostato i beni rubati, in gran parte in USDC, attraverso diversi portafogli prima di trasferirli da Solana a Ethereum utilizzando il Cross-Chain Transfer Protocol (CCTP) di Circle.
ZachXBT ha fatto notare che i trasferimenti sono avvenuti durante l'orario lavorativo statunitense senza alcun intervento.
"Circle era inattivo mentre milioni di USDC venivano scambiati tramite CCTP da Solana a Ethereum per ore, a seguito dell'attacco hacker a nove cifre a Drift, durante l'orario lavorativo statunitense", ha dichiarato l'investigatore blockchain.
Il ricercatore di sicurezza Specter ha condiviso queste preoccupazioni. Ha osservato che l'attaccante ha mantenuto USDC in diversi wallet per un periodo compreso tra 1 e 3 ore prima di effettuare lo scambio e ha deliberatamente evitato di convertire in Tether (USDT) durante il processo di bridging, il che suggerisce una certa fiducia nel fatto che Circle non avrebbe bloccato i fondi.
Uno schema di risposte contraddittorie
La tempistica ha acuito la frustrazione. Pochi giorni prima dell'attacco a Drift, il 23 marzo Circle aveva congelato i saldi in USDC di 16 portafogli digitali aziendali non correlati , nell'ambito di una causa civile statunitense riservata.
Tale azione ha interrotto le attività di borse valori, casinò e società di elaborazione dei pagamenti.
ZachXBT aveva precedentemente definito quel blocco potenzialmente il più incompetente che avesse visto in oltre cinque anni. Sosteneva che, sulla base di un'analisi on-chain, i portafogli erano impegnati in attività legittime.
Il 26 marzo Circle ha sbloccato un portafoglio collegato a Goated.com , ma la maggior parte è rimasta bloccata.
Il contrasto è stridente. Circle ha agito con decisione in una questione civile che riguardava aziende legittime. Eppure, durante una comprovata frode da nove cifre, non ha intrapreso alcuna azione per congelare i fondi rubati che transitavano sulla propria infrastruttura.
ZachXBT ha inoltre collegato questo comportamento alle funzionalità opzionali per la privacy proposte da Circle sulla sua prossima blockchain Arc. Ha suggerito che tali funzionalità potrebbero ridurre ulteriormente la responsabilità in materia di conformità, limitando chi può visualizzare le transazioni.
Cosa riserva il futuro a Circle e Drift?
Sul fronte Ethereum, i beni rubati sono stati scambiati con circa 129.000 ETH. Il valore totale bloccato di Drift è crollato da circa 550 milioni di dollari a 247 milioni di dollari, e il suo token nativo DRIFT ha perso quasi il 28%.
Circle non ha risposto pubblicamente alle critiche. L'incidente ha riacceso il dibattito sulla legittimità dell'autorità di congelamento esercitata dagli emittenti centralizzati di stablecoin qualora venga applicata in modo incoerente.
L'articolo ZachXBT critica Circle per aver lasciato circolare liberamente milioni di USDC rubati dopo l'attacco hacker a Drift è apparso per la prima volta su BeInCrypto .