El investigador de blockchain ZachXBT ha acusado públicamente a Circle de no congelar el USDC robado mientras se movía a través de la propia infraestructura de cadena cruzada de la empresa durante el exploit del Protocolo Drift de 285 millones de dólares el 1 de abril de 2026, lo que plantea preguntas específicas sobre cuándo y por qué el emisor de la stablecoin elige ejercer su autoridad de congelación.
El ataque del 1 de abril a Drift, un exchange de perpetuos descentralizado basado en Solana, fue detectado por la firma de seguridad PeckShield. Utilizando un oráculo manipulado y una clave de administrador comprometida, el atacante drenó la bóveda principal de Drift en aproximadamente 12 minutos, según la firma de análisis de blockchain Arkham. El valor total bloqueado de Drift cayó de aproximadamente 550 millones de dólares a menos de 300 millones de dólares en una hora. El token DRIFT cayó más del 40%. Más de diez protocolos adicionales de Solana reportaron interrupciones.
Después de convertir la mayoría de los activos robados a USDC, el atacante utilizó el Protocolo de Transferencia entre Cadenas (CCTP) de Circle para puentear aproximadamente 232 millones de dólares de Solana a Ethereum en más de 100 transacciones, durante seis horas consecutivas en horario comercial de EE. UU.
“Circle estaba dormido mientras muchos millones de USDC se intercambiaban a través de CCTP de Solana a Ethereum durante horas por el hackeo de nueve cifras de Drift en horario de EE. UU.”, escribió ZachXBT en X.
La crítica es más aguda dado el momento. Apenas nueve días antes, el 23 de marzo, Circle congeló USDC en 16 hot wallets comerciales no relacionadas, incluyendo una perteneciente a la Fundación DFINITY, como parte de un caso civil sellado en EE. UU. ZachXBT calificó esa congelación como “potencialmente la acción más incompetente” que había presenciado en cinco años de investigaciones on-chain.
El contraste —acción agresiva contra negocios legítimos, inacción durante un exploit confirmado de nueve cifras que transitaba por el propio puente de Circle— ha reavivado el debate sobre cómo funciona realmente la gobernanza centralizada de las stablecoins en la práctica. El investigador de seguridad Specter señaló que el atacante evitó deliberadamente convertir fondos a USDT de Tether, pareciendo confiado en que Circle no intervendría.
Circle respondió: “Circle es una empresa regulada que cumple con las sanciones, las órdenes de las fuerzas del orden y los requisitos judiciales. Congelamos activos cuando es legalmente requerido, de acuerdo con el estado de derecho y con fuertes protecciones para los derechos y la privacidad del usuario.”
Salman Banei, asesor general de Plume, advirtió que congelar activos sin autorización podría exponer a Circle a responsabilidad legal. Ben Levit, CEO de la agencia de calificación de stablecoins Bluechip, describió la situación como “un área gris”, señalando que se trataba de un exploit de oráculo en lugar de un hackeo limpio. La firma de análisis de blockchain Elliptic identificó múltiples indicadores que sugieren que hackers norcoreanos fueron responsables del exploit de Drift.
Dado que las pérdidas por hackeos de cripto se habían moderado significativamente en los meses previos a este incidente, el hackeo de Drift de 285 millones de dólares marca un fuerte revés, y el debate de Circle que ha desatado puede tener implicaciones duraderas sobre cómo se redacta el marco regulatorio más amplio de las stablecoins, particularmente en torno a la autoridad de congelación y la responsabilidad del emisor.
