Blockchain-Ermittler ZachXBT hat Circle öffentlich vorgeworfen, gestohlenes USDC nicht eingefroren zu haben, als es sich während des 285 Millionen US-Dollar umfassenden Drift Protocol Exploits am 1. April 2026 über die eigene Cross-Chain-Infrastruktur des Unternehmens bewegte – was scharfe Fragen aufwirft, wann und warum der Stablecoin-Emittent von seiner Einfrierungsbefugnis Gebrauch macht.
Der Angriff vom 1. April auf Drift, eine auf Solana basierende dezentrale Perpetual-Börse, wurde von der Sicherheitsfirma PeckShield gemeldet. Unter Verwendung eines manipulierten Orakels und eines kompromittierten Admin-Schlüssels entleerte der Angreifer laut der Blockchain-Analysefirma Arkham den Haupttresor von Drift in etwa 12 Minuten. Der Total Value Locked (TVL) von Drift fiel innerhalb einer Stunde von etwa 550 Millionen US-Dollar auf unter 300 Millionen US-Dollar. Der DRIFT-Token fiel um mehr als 40 %. Über zehn weitere Solana-Protokolle meldeten Störungen.
Nachdem die meisten gestohlenen Vermögenswerte in USDC umgewandelt worden waren, nutzte der Angreifer Circles Cross-Chain Transfer Protocol (CCTP), um etwa 232 Millionen US-Dollar von Solana nach Ethereum in mehr als 100 Transaktionen zu überbrücken — über sechs aufeinanderfolgende Stunden während der US-Geschäftszeiten.
„Circle hat geschlafen, während viele Millionen USDC über CCTP stundenlang vom 9-stelligen Drift-Hack von Solana nach Ethereum getauscht wurden, und das während der US-Geschäftszeiten“, schrieb ZachXBT auf X.
Die Kritik fällt angesichts des Zeitpunkts schärfer aus. Nur neun Tage zuvor, am 23. März, hatte Circle im Rahmen eines versiegelten US-Zivilverfahrens USDC auf 16 nicht miteinander verbundenen Hot Wallets von Unternehmen eingefroren — darunter eines der DFINITY Foundation. ZachXBT bezeichnete dieses Einfrieren als „potenziell die inkompetenteste“ Aktion, die er in fünf Jahren On-Chain-Ermittlungen beobachtet hatte.
Der Kontrast — aggressives Vorgehen gegen legitime Unternehmen, Untätigkeit während eines bestätigten neunstelligen Exploits, der über Circles eigene Brücke erfolgte — hat die Debatte darüber neu entfacht, wie zentrale Stablecoin-Governance in der Praxis funktioniert. Sicherheitsforscher Specter bemerkte, dass der Angreifer es absichtlich vermied, Gelder in Tethers USDT umzuwandeln, offenbar in der Zuversicht, dass Circle nicht eingreifen würde.
Circle antwortete: „Circle ist ein reguliertes Unternehmen, das Sanktionen, Anordnungen von Strafverfolgungsbehörden und gerichtlichen Auflagen nachkommt. Wir frieren Vermögenswerte ein, wenn dies gesetzlich vorgeschrieben ist, im Einklang mit der Rechtsstaatlichkeit und mit starken Schutzmaßnahmen für Nutzerrechte und Privatsphäre.“
Salman Banei, General Counsel bei Plume, warnte, dass das Einfrieren von Vermögenswerten ohne Genehmigung Circle rechtlicher Haftung aussetzen könnte. Ben Levit, CEO der Stablecoin-Ratingagentur Bluechip, beschrieb die Situation als „Grauzone“ und bemerkte, dass dies ein Oracle-Exploit und kein sauberer Hack war. Die Blockchain-Analysefirma Elliptic identifizierte mehrere Indikatoren, die darauf hindeuteten, dass nordkoreanische Hacker für den Drift-Exploit verantwortlich waren.
Da die Verluste durch Krypto-Hacks in den Monaten vor diesem Vorfall deutlich zurückgegangen waren, markiert der 285-Millionen-Dollar-Drift-Hack eine deutliche Umkehr — und die von ihm ausgelöste Circle-Debatte könnte weitreichende Auswirkungen darauf haben, wie der breitere regulatorische Rahmen für Stablecoins gestaltet wird, insbesondere in Bezug auf die Einfrierungsbefugnis und die Rechenschaftspflicht des Emittenten.
