ZachXBTレポート：Circleは、$420 Million Incidentsのコンプライアンス違反で指摘される

4月3日、オンチェーン調査員のZachXBTが、Circleによるとされるコンプライアンス上の不備を詳述したレポートを公開しました。このレポートは、2022年以降、同社が違法な資金が関与した複数の事案において「不十分なコンプライアンスの執行」を示してきたと主張しており、その累計額は4億2000万ドルを超えています。

このレポートでは、USDCの発行体であるCircleは、規制面での立ち位置や堅牢なコンプライアンス体制で一貫して知られていると強調しています。さらに、そのトークンのコントラクトにはアドレスを凍結し、ブラックリスト化する機能も備わっており、利用規約では不審なアカウントの制限を行う権利を明確に留保しています。しかし、いくつかの重大なセキュリティインシデントでは、これらの仕組みが迅速かつ効果的に用いられていませんでした。

レポートは、特に2026年4月1日のDrift Protocol攻撃に言及しており、約2億8000万ドル相当の資産が盗まれたとされています。攻撃者は、Circle自身のクロスチェーンブリッジであるCCTPを通じて、SolanaからEthereumへ2億2.8億ドル超のUSDCを6時間以内に送金しましたが、この期間中に資産が凍結されることはありませんでした。同様の状況は、SwapNet、Cetus Protocol、そしてMango Marketsへの攻撃でも発生しています。

場合によっては、法執行機関や業界の専門家が凍結要請を出した後でも、Circleが迅速に対応できなかった、または資産がすでに移転された後にしか処理されなかった、とレポートは指摘しています。さらに、Lazarus Groupによるマネーロンダリングに関する捜査でのCircleの対応は、TetherやPaxosのような他のステーブルコイン発行体と比べて大幅に遅かったとも述べています。凍結作業が数か月遅れたケースもあります。

同様の遅れは、Ledgerのサプライチェーン攻撃やGMX攻撃でも見られました。そこではUSDCが疑わしいアドレスに数時間、場合によってはそれ以上の時間とどまっていたにもかかわらず、凍結されませんでした。ZachXBTはレポートの中で、この開示はCircleの製品やステーブルコインそのものの価値を否定する意図ではなく、むしろ同社のコンプライアンス執行に関する判断が業界に「現実かつ重大な損失」をもたらしたことを強調するためだと述べています。

また過去3年間、迅速に対応しなかった失敗が繰り返された結果、DeFiエコシステムは9桁の損失を被っており、4億2000万ドルという数字は公開された事例に基づく保守的な見積もりで、実際の規模はさらに大きい可能性があると指摘しました。