O investigador de blockchain ZachXBT acusou publicamente a Circle de não ter conseguido congelar USDC roubados enquanto ele se movia através da infraestrutura cross-chain da própria empresa durante a exploração do Drift Protocol de US$ 285 milhões em 1º de abril de 2026 – levantando questões pontuais sobre quando e por que o emissor de stablecoin escolhe exercer sua autoridade de congelamento.

O ataque de 1º de abril à Drift, uma exchange descentralizada de perpétuos baseada em Solana, foi sinalizado pela empresa de segurança PeckShield. Usando um oráculo manipulado e uma chave de administrador comprometida, o invasor drenou o cofre principal do Drift em aproximadamente 12 minutos, de acordo com a empresa de análise de blockchain Arkham. O valor total bloqueado do Drift caiu de cerca de US$ 550 milhões para menos de US$ 300 milhões em uma hora. O token DRIFT caiu mais de 40%. Mais de dez protocolos Solana adicionais relataram interrupção.

Depois de converter a maioria dos ativos roubados em USDC, o invasor usou o Cross-Chain Transfer Protocol (CCTP) da Circle para transferir aproximadamente US$ 232 milhões de Solana para Ethereum em mais de 100 transações – durante seis horas consecutivas durante o horário comercial dos EUA.

“A Circle estava dormindo enquanto muitos milhões de USDC foram trocados via CCTP de Solana para Ethereum por horas a partir do hack Drift de 9 dígitos durante o horário dos EUA”, escreveu ZachXBT no X.

As críticas são mais acentuadas dado o momento. Apenas nove dias antes, em 23 de março, a Circle congelou USDC em 16 hot wallets comerciais não relacionadas – incluindo uma pertencente à Fundação DFINITY – como parte de um caso civil selado nos EUA. ZachXBT chamou esse congelamento de “potencialmente a ação mais incompetente” que ele testemunhou em cinco anos de investigações na rede.

O contraste – ação agressiva contra empresas legítimas, inação durante uma exploração confirmada de nove dígitos transitando pela própria ponte da Circle – reacendeu o debate sobre como a governança centralizada da moeda estável realmente funciona na prática. O pesquisador de segurança Spectre observou que o invasor evitou deliberadamente converter fundos para o USDT da Tether, parecendo confiante que a Circle não interviria.

Defesa do Círculo

A Circle respondeu: “A Circle é uma empresa regulamentada que cumpre sanções, ordens de aplicação da lei e requisitos exigidos pelo tribunal. Congelamos ativos quando legalmente exigido, de forma consistente com o estado de direito e com fortes proteções para os direitos e a privacidade do usuário”.

Salman Banei, conselheiro geral da Plume, alertou que o congelamento de ativos sem autorização poderia expor a Circle a responsabilidades legais. Ben Levit, CEO da agência de classificação de stablecoin Bluechip, descreveu a situação como “uma área cinzenta”, observando que se tratava de uma exploração do oráculo, e não de um hack limpo. A empresa de análise de blockchain Elliptic identificou vários indicadores sugerindo que hackers norte-coreanos foram responsáveis ​​pela exploração do Drift.

Como perdas de hack de criptografia diminuiu significativamente nos meses anteriores a este incidente, o hack de US$ 285 milhões do Drift marca uma reversão total – e o debate do Círculo que ele desencadeou pode ter implicações duradouras sobre como o cenário mais amplo quadro regulatório de stablecoin está escrito, especialmente em torno do congelamento da autoridade e da responsabilidade do emissor.