USDC-kontode külmutamise skandaal: ZachXBT väidab, et Circle külmutas 16 seaduslikku rahakotti, jättes tähelepanuta tegelikud häkkimised

Peamised järeldused:

• Onchaini uurija ZachXBT tuvastas 15 juhtumit, mille kogusumma ületas 420 miljonit dollarit ebaseaduslikes USDC-voogudes, mida Circle ei suutnud alates 2022. aastast viivitamatult külmutada.
• Drift Protocol'i turvaaugu ärakasutamise käigus suunati 6 tunni jooksul Circle'i enda CCTP kaudu 232 miljonit USDC-d, ilma et neid USA tööajal külmutatud oleks.
• Circle külmutas 2026. aasta märtsis tsiviilasjas 16 seaduslikku ärikontot, sealhulgas DFINITY Foundationi ckETH Minter lepingu, millest 5 külmutati hiljem lahti.

Kas Circle ei suutnud varastatud USDC-d külmutada? ZachXBT väidab, et jah, ja toob selle kohta tõendeid

Teema pealkirjaga „Tere tulemast Circle'i USDC-failidesse” postitati X-i ja selles kirjeldati konkreetseid häkkimisi, pettusi ja Põhja-Koreaga seotud vargusjuhtumeid, kus Circle'il oli tehniline võime ja lepinguline volitus USDC-rahakotte külmutada või musta nimekirja kanda, kuid ta ei tegutsenud kiiresti või üldse. ZachXBT tsiteeris ahelaaadresse, tehingute ajakavasid ja suhtlust, milles osalesid õiguskaitseasutused, ohvrid ja erasektori turvaettevõtted.

Nende juhtumite hulgast tõi ZachXBT esile 1. aprilli 2026. aasta Drift Protocol'i turvaaugu, mille blockchaini analüüsifirma Elliptic omistab Põhja-Korea Lazarus Groupile, kui silmapaistva näite. Ründajad viisid üle 232 miljonit USDC-d Solanast Ethereumi, kasutades Circle'i enda Cross-Chain Transfer Protocol'i enam kui 100 tehingus kuue tunni jooksul USA tööajal. Circle ei külmutanud vahendeid.

ZachXBT postituses tõstetakse esile 25. jaanuari 2026. aasta Swapneti rünnakut, mille käigus varastati 16 miljonit dollarit, kusjuures 3 miljonit USDC-d olid kaks päeva kättesaadavad, samal ajal kui õiguskaitseasutused ja eradetektiivid esitasid ajutise külmutamise taotlusi, mille Circle tagasi lükkas. Vahendid vahetati enne, kui kohtumäärus saadi.

22. mai 2025. aasta Cetus Protocol'i häkkimise käigus võtsid ründajad 223 miljonit dollarit ja suunasid 61 miljonit USDC-d Circle'i infrastruktuuri kaudu 90 minuti jooksul. Circle lisas rahalised vahendid musta nimekirja kuu aega hiljem, kui need olid juba Etheriks konverteeritud.

ZachXBT viitas ka 2022. aasta oktoobri Mango Marketsi rünnakule, kus 57,5 miljonit dollarit suunati Circle'i hoiustamisadresse ja neid ei külmutatud kunagi ahelas. Ründaja vastu esitas hiljem süüdistuse USA Väärtpaberite ja Valuutakomisjon (SEC). 2022. aasta augustis toimunud Nomad Bridge'i häkkimise käigus jäi ligikaudu 45 miljonit dollarit USDC-d 30–45 minutiks külmutamata pärast 190 miljoni dollari suurust rikkumist. Ta väidab, et Circle ei võtnud meetmeid.

Uurija märkis, et Circle'il kulus 4,5 kuud kauem kui Tetheril, Paxosel ja teistel stabiilse valuuta väljastajatel, et külmutada 2024. aasta aprilli raportis märgitud Lazarus Groupiga seotud aadressid. Ta dokumenteeris ka viivitatud reageeringuid seoses sanktsioonide alla kuuluvaga Venemaa börsiga Garantex, kus üle 200 000 USDC jäi puutumata, samal ajal kui Tether külmutas paralleelse tegevuse käigus 22 miljonit dollarit.

Circle'i ametlik seisukoht, mis edastati meediale pressiesindaja avalduste kaudu, on, et ettevõte külmutab varasid ainult siis, kui see on seadusega nõutud, sealhulgas vastusena sanktsioonide kehtestamisele, õiguskaitseasutuste korraldustele või kohtu määrustele. Ettevõte väidab, et ennetav külmutamine ilma seadusliku volituseta seab Circle'i vastutusele ja rikub kasutajate õigusi. Ettevõtte teenusetingimused lubavad oma äranägemisel tegutseda, kuid ettevõtte praktikas eelistatakse ametlikku õiguslikku protsessi.

ZachXBT tunnistas, et Circle loob kvaliteetseid tooteid, ja ütles, et tal endal on USDC-d. Tema kriitika keskendub sellele, kas Circle'i vastavusprioriteedid vastavad kahjudele, mida laiem krüptosüsteem kannatab, kui külmutamised viibivad või neid ei teostata.

Kinnipeetud seaduslikud tehingud

Eraldi juhtum võimendas kriitikat. 23. märtsil 2026 või selle paiku külmutas Circle USDC saldod 16 omavahel mitteseotud ärikontos, mis olid seotud New Yorgis suletud USA tsiviilasjaga, mille numbriks on umbes 26-cv-2327. Rahakotid kuulusid krüptovaluutabörsidele, online-kasiinodele, valuutavahetusmaakleritele, makseprotsessoritele ja DFINITY Foundationi poolt hallatavale ckETH Minteri nutilepingule, mis ühendab Internet Computer Protocol'i Ethereumiga.

ZachXBT nimetas seda potentsiaalselt kõige ebakompetentsemaks külmutamiseks, mida ta oli üle viie aasta jooksul uurimistööd tehes näinud. Ta ütles, et põhiline on-chain analüüs oleks näidanud, et rahakotid olid aktiivsed operatiivsed infrastruktuurid, millel puudusid ilmsed seosed üksteisega või aluseks oleva tsiviilasjaga.

Vähemalt viis 16 rahakotist vabastati hiljem külmutamisest, sealhulgas DFINITY leping ja Goated.comi rahakott, milles oli ligikaudu 131 000 USDC. Aruande koostamise ajaks oodati veelgi rohkem tühistamisi. Circle ei avaldanud 4. aprillil 2026. aastal kogu teemakäigu kohta üksikasjalikku avalikku vastulauset.

Need juhtumid tekitavad kokkuvõttes otseseid küsimusi selle kohta, kuidas New Yorgis asuv ja USA regulatsioonide alla kuuluv stabiilse valuuta väljastaja kaalub õiguslikku ettevaatlikkust ja reaalset kahju, mis tuleneb ebaseaduslikust tegevusest, mida tema infrastruktuur aitab edasi viia.