ब्लॉकचेन अन्वेषक ZachXBT ने सार्वजनिक रूप से Circle पर 1 अप्रैल, 2026 को $285 मिलियन के ड्रिफ्ट प्रोटोकॉल एक्सप्लॉइट के दौरान कंपनी के अपने क्रॉस-चेन इन्फ्रास्ट्रक्चर के माध्यम से आगे बढ़ रहे चुराए गए USDC को फ्रीज करने में विफल रहने का आरोप लगाया है — जिससे इस बारे में तीखे सवाल खड़े हो रहे हैं कि स्टेबलकॉइन जारीकर्ता अपनी फ्रीज करने की शक्ति का प्रयोग कब और क्यों करना चुनता है।
सोलाना-आधारित डिसेंट्रलाइज़्ड परपेचुअल एक्सचेंज ड्रिफ्ट पर 1 अप्रैल को हुए हमले को सुरक्षा फर्म पेकशील्ड ने उजागर किया। ब्लॉकचेन एनालिटिक्स फर्म आर्कहम के अनुसार, एक हेरफेर किए गए ओरेकल और समझौता की गई एडमिन कुंजी का उपयोग करते हुए, हमलावर ने लगभग 12 मिनट में ड्रिफ्ट के मुख्य वॉल्ट को खाली कर दिया। ड्रिफ्ट का कुल वैल्यू लॉक्ड (TVL) एक घंटे के भीतर लगभग $550 मिलियन से घटकर $300 मिलियन से भी कम हो गया। DRIFT टोकन 40% से अधिक गिर गया। दस से अधिक अन्य सोलाना प्रोटोकॉल ने व्यवधान की सूचना दी।
चोरी की गई अधिकांश संपत्तियों को USDC में बदलने के बाद, हमलावर ने Circle के क्रॉस-चेन ट्रांसफर प्रोटोकॉल (CCTP) का उपयोग करके सोलाना से एथेरियम तक लगभग $232 मिलियन को 100 से अधिक ट्रांजैक्शन में — अमेरिकी व्यावसायिक घंटों के दौरान लगातार छह घंटों से अधिक समय तक ब्रिज किया।
"जब यूएस घंटों के दौरान 9-अंकीय ड्रिफ्ट हैक से कई मिलियन USDC CCTP के माध्यम से सोलाना से एथेरियम में घंटों तक स्वैप किए जा रहे थे, तब Circle सो रहा था," ZachXBT ने X पर लिखा।
समय को देखते हुए यह आलोचना और भी तीखी हो जाती है। ठीक नौ दिन पहले, 23 मार्च को, Circle ने एक सीलबंद अमेरिकी नागरिक मामले के हिस्से के रूप में 16 असंबंधित व्यावसायिक हॉट वॉलेट्स — जिसमें DFINITY फाउंडेशन का एक वॉलेट भी शामिल था — में USDC को फ्रीज कर दिया था। ZachXBT ने उस फ्रीज को "संभावित रूप से सबसे अक्षम" कार्रवाई बताया जिसे उन्होंने ऑन-चेन जांच के अपने पांच वर्षों में देखा था।
यह विरोधाभास — वैध व्यवसायों के खिलाफ आक्रामक कार्रवाई, और Circle के अपने ब्रिज के माध्यम से एक पुष्ट नौ-अंकीय एक्सप्लॉइट के दौरान निष्क्रियता — ने इस बहस को फिर से हवा दी है कि केंद्रीकृत स्टेबलकॉइन गवर्नेंस वास्तव में व्यवहार में कैसे काम करता है। सुरक्षा शोधकर्ता स्पेक्टर ने बताया कि हमलावर ने जानबूझकर Tether के USDT में फंड बदलने से परहेज किया, यह दिखाते हुए कि उसे विश्वास था कि Circle हस्तक्षेप नहीं करेगा।
Circle ने जवाब दिया: "Circle एक विनियमित कंपनी है जो प्रतिबंधों, कानून प्रवर्तन आदेशों और अदालत द्वारा अनिवार्य आवश्यकताओं का पालन करती है। हम संपत्ति को तब फ्रीज करते हैं जब कानूनी रूप से आवश्यक होता है, जो कानून के शासन के अनुरूप होता है और उपयोगकर्ता अधिकारों और गोपनीयता के लिए मजबूत सुरक्षा प्रदान करता है।"
प्ल्यूम के जनरल काउंसिल सलमान बानई ने चेतावनी दी कि बिना प्राधिकरण के संपत्ति फ्रीज करने से Circle कानूनी दायित्व के दायरे में आ सकता है। स्टेबलकॉइन रेटिंग एजेंसी ब्लूचिप के सीईओ बेन लेविट ने स्थिति को "ग्रे एरिया" बताया, यह देखते हुए कि यह एक ओरेकल एक्सप्लॉइट था न कि एक क्लीन हैक। ब्लॉकचेन एनालिटिक्स फर्म एलिप्टिक ने कई ऐसे संकेत पाए जिनसे पता चलता है कि ड्रिफ्ट एक्सप्लॉइट के लिए उत्तर कोरियाई हैकर्स जिम्मेदार थे।
इस घटना से पहले के महीनों में क्रिप्टो हैक से होने वाले नुकसान में काफी कमी आई थी, लेकिन $285 मिलियन का ड्रिफ्ट हैक एक कठोर बदलाव को दर्शाता है — और इसने Circle पर जो बहस छेड़ी है, उसके व्यापक स्टेबलकॉइन नियामक ढांचे पर स्थायी प्रभाव पड़ सकते हैं, विशेष रूप से फ्रीज करने की शक्ति और जारीकर्ता की जवाबदेही के संबंध में।
