Blockchain-onderzoeker ZachXBT heeft Circle publiekelijk beschuldigd van het nalaten gestolen USDC te bevriezen terwijl het via de eigen cross-chain infrastructuur van het bedrijf bewoog tijdens de $285 miljoen kostende Drift Protocol exploit op 1 april 2026 — wat scherpe vragen oproept over wanneer en waarom de uitgever van de stablecoin ervoor kiest haar bevriezingsbevoegdheid uit te oefenen.
De aanval op 1 april op Drift, een op Solana gebaseerde gedecentraliseerde perpetuals exchange, werd gesignaleerd door beveiligingsbedrijf PeckShield. Met behulp van een gemanipuleerde oracle en een gecompromitteerde admin-sleutel, heeft de aanvaller de hoofdkas van Drift in ongeveer 12 minuten leeggehaald, aldus blockchain-analysebedrijf Arkham. De totale waarde die in Drift was vastgezet, daalde binnen een uur van ongeveer $550 miljoen naar minder dan $300 miljoen. De DRIFT-token daalde met meer dan 40%. Meer dan tien andere Solana-protocollen meldden verstoringen.
Na het omzetten van het grootste deel van de gestolen activa naar USDC, gebruikte de aanvaller Circle's Cross-Chain Transfer Protocol (CCTP) om ongeveer $232 miljoen van Solana naar Ethereum te bridgen, verspreid over meer dan 100 transacties — gedurende zes aaneengesloten uren tijdens Amerikaanse kantooruren.
"Circle sliep terwijl vele miljoenen USDC urenlang via CCTP van Solana naar Ethereum werden geswapt na de 9-cijferige Drift-hack tijdens Amerikaanse uren," schreef ZachXBT op X.
De kritiek is scherper gezien de timing. Slechts negen dagen eerder, op 23 maart, bevroor Circle USDC in 16 niet-gerelateerde zakelijke hot wallets — waaronder één die toebehoorde aan de DFINITY Foundation — als onderdeel van een verzegelde Amerikaanse civiele zaak. ZachXBT noemde die bevriezing "potentieel de meest incompetente" actie die hij in vijf jaar van on-chain onderzoeken had gezien.
Het contrast — agressieve actie tegen legitieme bedrijven, inactiviteit tijdens een bevestigde negen-cijferige exploit die via Circle's eigen bridge verliep — heeft het debat opnieuw aangewakkerd over hoe gecentraliseerd stablecoin-bestuur in de praktijk werkt. Beveiligingsonderzoeker Specter merkte op dat de aanvaller opzettelijk vermeed fondsen om te zetten naar Tether's USDT, blijkbaar ervan overtuigd dat Circle niet zou ingrijpen.
Circle reageerde: "Circle is een gereguleerd bedrijf dat voldoet aan sancties, bevelen van wetshandhavers en door de rechtbank opgelegde vereisten. We bevriezen activa wanneer wettelijk verplicht, in overeenstemming met de rechtsstaat en met sterke bescherming van gebruikersrechten en privacy."
Salman Banei, algemeen adviseur bij Plume, waarschuwde dat het bevriezen van activa zonder autorisatie Circle bloot zou kunnen stellen aan juridische aansprakelijkheid. Ben Levit, CEO van stablecoin-ratingsbureau Bluechip, beschreef de situatie als "een grijs gebied", en merkte op dat dit een oracle-exploit was in plaats van een "schone" hack. Blockchain-analysebedrijf Elliptic identificeerde meerdere indicatoren die suggereren dat Noord-Koreaanse hackers verantwoordelijk waren voor de Drift-exploit.
Aangezien de verliezen door crypto-hacks in de maanden voorafgaand aan dit incident aanzienlijk waren gematigd, markeert de $285 miljoen kostende Drift-hack een scherpe ommekeer — en het Circle-debat dat het heeft aangewakkerd, kan blijvende gevolgen hebben voor hoe het bredere regelgevingskader voor stablecoins wordt opgesteld, met name rond bevriezingsbevoegdheid en aansprakelijkheid van de uitgever.
