Penyelidik blockchain ZachXBT secara terbuka menuduh Circle gagal membekukan USDC yang dicuri saat bergerak melalui infrastruktur lintas rantai (cross-chain) milik perusahaan selama eksploitasi Protokol Drift senilai $285 juta pada 1 April 2026 — menimbulkan pertanyaan tajam tentang kapan dan mengapa penerbit stablecoin tersebut memilih untuk menggunakan wewenang pembekuan (freeze authority) miliknya.
Serangan 1 April terhadap Drift, bursa perpetual terdesentralisasi (decentralized perpetuals exchange) berbasis Solana, ditandai oleh perusahaan keamanan PeckShield. Menggunakan oracle yang dimanipulasi dan kunci admin yang disusupi, penyerang menguras vault utama Drift dalam waktu sekitar 12 menit, menurut perusahaan analitik blockchain Arkham. Total nilai terkunci (total value locked) Drift turun dari sekitar $550 juta menjadi di bawah $300 juta dalam satu jam. Token DRIFT turun lebih dari 40%. Lebih dari sepuluh protokol Solana tambahan melaporkan gangguan.
Setelah mengkonversi sebagian besar aset yang dicuri menjadi USDC, penyerang menggunakan Cross-Chain Transfer Protocol (CCTP) milik Circle untuk menjembatani (bridge) sekitar $232 juta dari Solana ke Ethereum melalui lebih dari 100 transaksi — selama enam jam berturut-turut pada jam kerja AS.
“Circle tertidur sementara jutaan USDC ditukar melalui CCTP dari Solana ke Ethereum selama berjam-jam akibat peretasan Drift bernilai sembilan digit pada jam kerja AS,” tulis ZachXBT di X.
Kritik ini semakin tajam mengingat waktunya. Hanya sembilan hari sebelumnya, pada 23 Maret, Circle membekukan USDC di 16 dompet panas (hot wallets) bisnis yang tidak terkait — termasuk satu milik DFINITY Foundation — sebagai bagian dari kasus perdata AS yang disegel. ZachXBT menyebut pembekuan itu “berpotensi menjadi tindakan paling tidak kompeten” yang pernah ia saksikan dalam lima tahun investigasi on-chain.
Kontras ini — tindakan agresif terhadap bisnis yang sah, kelambanan selama eksploitasi bernilai sembilan digit yang terkonfirmasi yang melewati bridge milik Circle sendiri — telah menyulut kembali perdebatan tentang bagaimana tata kelola stablecoin terpusat (centralized stablecoin governance) benar-benar berfungsi dalam praktiknya. Peneliti keamanan Specter mencatat bahwa penyerang sengaja menghindari konversi dana ke USDT Tether, tampaknya yakin Circle tidak akan campur tangan.
Circle menanggapi: “Circle adalah perusahaan yang diatur yang mematuhi sanksi, perintah penegakan hukum, dan persyaratan yang diamanatkan pengadilan. Kami membekukan aset ketika diwajibkan secara hukum, konsisten dengan supremasi hukum dan dengan perlindungan kuat untuk hak dan privasi pengguna.”
Salman Banei, penasihat umum di Plume, memperingatkan bahwa pembekuan aset tanpa otorisasi dapat membuat Circle terkena tanggung jawab hukum (legal liability). Ben Levit, CEO lembaga pemeringkat stablecoin Bluechip, menggambarkan situasi tersebut sebagai “area abu-abu,” mencatat ini adalah eksploitasi oracle, bukan peretasan murni. Perusahaan analitik blockchain Elliptic mengidentifikasi beberapa indikator yang menunjukkan peretas Korea Utara bertanggung jawab atas eksploitasi Drift.
Meskipun kerugian akibat peretasan kripto telah moderat secara signifikan dalam bulan-bulan sebelum insiden ini, peretasan Drift senilai $285 juta ini menandai pembalikan yang mencolok — dan perdebatan Circle yang dipicunya mungkin memiliki implikasi jangka panjang untuk bagaimana kerangka regulasi stablecoin yang lebih luas ditulis, terutama seputar wewenang pembekuan (freeze authority) dan akuntabilitas penerbit (issuer accountability).
