Polemica sul blocco degli USDC: ZachXBT sostiene che Circle abbia bloccato 16 portafogli legittimi, trascurando i veri attacchi hacker

• L'investigatore on-chain ZachXBT ha identificato 15 casi per un totale di oltre 420 milioni di dollari in flussi illeciti di USDC che Circle non è riuscita a congelare tempestivamente dal 2022.
• L'exploit del Drift Protocol ha visto 232 milioni di USDC trasferiti tramite il CCTP di Circle in 6 ore senza alcun congelamento durante l'orario lavorativo negli Stati Uniti.
• Circle ha congelato 16 portafogli aziendali legittimi in una causa civile del marzo 2026, incluso il contratto ckETH Minter della DFINITY Foundation, di cui 5 sono stati successivamente sbloccati.

Circle non è riuscita a congelare gli USDC rubati? ZachXBT dice di sì, con le prove

Il thread, intitolato "Benvenuti nei file USDC di Circle", è stato pubblicato su X e ha illustrato specifici casi di hackeraggio, frodi e furti legati alla Corea del Nord in cui Circle aveva la capacità tecnica e l'autorità contrattuale per congelare o inserire nella lista nera i portafogli USDC, ma non ha agito tempestivamente, o non ha agito affatto. ZachXBT ha citato indirizzi on-chain, cronologie delle transazioni e comunicazioni che coinvolgono le forze dell'ordine, le vittime e le società di sicurezza del settore privato.

Tra i casi, ZachXBT ha segnalato come esempio lampante l'exploit del Drift Protocol del 1° aprile 2026, attribuito al gruppo nordcoreano Lazarus dalla società di analisi blockchain Elliptic. Gli aggressori hanno trasferito più di 232 milioni di USDC da Solana a Ethereum utilizzando il protocollo di trasferimento cross-chain di Circle in oltre 100 transazioni nell'arco di sei ore durante l'orario lavorativo statunitense. Circle non ha effettuato alcun congelamento. Il post di ZachXBT evidenzia l'exploit di Swapnet del 25 gennaio 2026, in cui sono stati rubati 16 milioni di dollari, con 3 milioni di USDC rimasti accessibili per due giorni mentre le forze dell'ordine e gli investigatori privati presentavano richieste di congelamento temporaneo che Circle ha negato. I fondi sono stati scambiati prima che potesse essere ottenuto un ordine del tribunale.

Nell'attacco al protocollo Cetus del 22 maggio 2025, gli aggressori hanno sottratto 223 milioni di dollari e trasferito 61 milioni di USDC tramite l'infrastruttura di Circle in 90 minuti. Circle ha inserito i fondi nella lista nera un mese dopo, quando erano già stati convertiti in Ether.

ZachXBT ha anche citato l'exploit di Mango Markets dell'ottobre 2022, in cui 57,5 milioni di dollari sono stati instradati attraverso un indirizzo di deposito di Circle e non sono mai stati congelati on-chain. L'autore dell'exploit è stato successivamente incriminato dalla Securities and Exchange Commission (SEC) degli Stati Uniti. Nell'attacco hacker al Nomad Bridge dell'agosto 2022, circa 45 milioni di dollari in USDC sono rimasti congelabili per 30-45 minuti a seguito di una violazione da 190 milioni di dollari. Egli afferma che Circle non ha agito.

L'investigatore ha osservato che Circle ha impiegato 4,5 mesi in più rispetto a Tether, Paxos e altri emittenti di stablecoin per congelare gli indirizzi collegati al Lazarus Group segnalati in un rapporto dell'aprile 2024. Ha inoltre documentato risposte ritardate che coinvolgono Garantex, l'exchange russo soggetto a sanzioni, dove oltre 200.000 USDC sono rimasti intatti mentre Tether ha congelato 22 milioni di dollari in un'azione parallela.

La posizione ufficiale di Circle, comunicata ai media tramite dichiarazioni del portavoce, sostiene che la società congela le risorse solo quando richiesto dalla legge, anche in risposta a designazioni di sanzioni, ordini delle forze dell'ordine o mandati giudiziari. La società afferma che i congelamenti preventivi senza autorizzazione legale espongono Circle a responsabilità e violano i diritti degli utenti. I suoi termini di servizio consentono azioni discrezionali, ma la prassi della società dà priorità al processo legale formale.

ZachXBT ha riconosciuto che Circle realizza prodotti di qualità e ha dichiarato di detenere personalmente USDC. La sua critica verte sul fatto che le priorità di Circle in materia di conformità siano commisurate alle perdite che l'ecosistema crypto più ampio subisce quando i congelamenti vengono ritardati o sospesi.

Operazioni legittime congelate

Un altro incidente ha amplificato le critiche. Intorno al 23 marzo 2026, Circle ha congelato i saldi in USDC in 16 portafogli aziendali non correlati legati a un caso civile statunitense secretato a New York, identificato approssimativamente come il caso 26-cv-2327. I portafogli appartenevano a exchange di criptovalute, casinò online, broker forex, processori di pagamento e allo smart contract ckETH Minter gestito dalla Fondazione DFINITY, che collega l'Internet Computer Protocol a Ethereum.

ZachXBT l'ha definito potenzialmente il congelamento più incompetente a cui abbia assistito in oltre cinque anni di indagini. Ha affermato che una semplice analisi on-chain avrebbe dimostrato che i portafogli erano infrastrutture operative attive senza apparenti collegamenti tra loro o con la questione civile sottostante.

Almeno cinque dei 16 portafogli sono stati successivamente sbloccati, tra cui il contratto di DFINITY e il portafoglio di Goated.com contenente circa 131.000 USDC. Al momento della stesura di questo articolo, erano attesi ulteriori sblocchi. Al 4 aprile 2026, Circle non aveva pubblicato alcuna confutazione pubblica dettagliata dell'intero thread.

Questi casi sollevano collettivamente interrogativi diretti su come un emittente di stablecoin regolamentato negli Stati Uniti con sede a New York valuti la cautela legale rispetto alle perdite reali derivanti da attività illecite che la sua infrastruttura contribuisce a facilitare.