O investigador blockchain ZachXBT acusou publicamente a Circle de não congelar USDC roubado enquanto este se movia pela própria infraestrutura cross-chain da empresa durante a exploração de US$ 285 milhões do Drift Protocol em 1º de abril de 2026 — levantando questões importantes sobre quando e por que o emissor da stablecoin escolhe exercer sua autoridade de congelamento.
O ataque de 1º de abril ao Drift, uma exchange de perpétuos descentralizada baseada em Solana, foi sinalizado pela empresa de segurança PeckShield. Usando um oráculo manipulado e uma chave de administrador comprometida, o atacante drenou o vault principal da Drift em aproximadamente 12 minutos, de acordo com a empresa de análise blockchain Arkham. O valor total bloqueado (TVL) da Drift caiu de cerca de US$ 550 milhões para menos de US$ 300 milhões em uma hora. O token DRIFT caiu mais de 40%. Mais de dez protocolos adicionais da Solana reportaram interrupção.
Após converter a maioria dos ativos roubados para USDC, o atacante usou o Cross-Chain Transfer Protocol (CCTP) da Circle para transferir via ponte aproximadamente US$ 232 milhões de Solana para Ethereum em mais de 100 transações — ao longo de seis horas consecutivas durante o horário comercial dos EUA.
“A Circle estava dormindo enquanto muitos milhões de USDC eram trocados via CCTP de Solana para Ethereum por horas, vindos do hack de 9 dígitos da Drift, durante o horário dos EUA”, escreveu ZachXBT no X.
A crítica é mais incisiva dada a ocasião. Apenas nove dias antes, em 23 de março, a Circle congelou USDC em 16 hot wallets comerciais não relacionadas — incluindo uma pertencente à Fundação DFINITY — como parte de um caso civil selado nos EUA. ZachXBT chamou esse congelamento de “potencialmente a ação mais incompetente” que ele havia testemunhado em cinco anos de investigações on-chain.
O contraste — ação agressiva contra negócios legítimos, inação durante um exploit confirmado de nove dígitos transitando pela própria ponte da Circle — reacendeu o debate sobre como a governança centralizada de stablecoins realmente funciona na prática. O pesquisador de segurança Specter observou que o atacante evitou deliberadamente converter fundos para o USDT da Tether, parecendo confiante de que a Circle não interviria.
A Circle respondeu: “A Circle é uma empresa regulamentada que cumpre sanções, ordens de aplicação da lei e requisitos determinados por tribunais. Congelamos ativos quando legalmente exigido, de acordo com o estado de direito e com fortes proteções para os direitos e a privacidade dos usuários.”
Salman Banei, conselheiro geral da Plume, alertou que congelar ativos sem autorização poderia expor a Circle a responsabilidade legal. Ben Levit, CEO da agência de classificação de stablecoins Bluechip, descreveu a situação como “uma área cinzenta”, observando que se tratava de um exploit de oráculo e não de um hack limpo. A empresa de análise blockchain Elliptic identificou múltiplos indicadores sugerindo que hackers norte-coreanos foram responsáveis pelo exploit da Drift.
Como as perdas por hacks de cripto haviam moderado significativamente nos meses anteriores a este incidente, o hack de US$ 285 milhões da Drift marca uma reversão acentuada — e o debate da Circle que ele desencadeou pode ter implicações duradouras para como a estrutura regulatória mais ampla das stablecoins será escrita, particularmente em torno da autoridade de congelamento e responsabilidade do emissor.
