«The Circle USDC Files»: ZachXBT знаходить $420M In у підозрілих транзакціях, слабкий нагляд

Ончейн-детектив ZachXBT опублікував новий звіт під назвою “The Circle USDC Files”, стверджуючи про понад $420 мільйонів збоїв у дотриманні вимог, пов’язаних зі стейблкоїном USDC компанії з 2022 року

Аналіз, оприлюднений у соціальній мережі X у п’ятницю, описує кілька гучних експлойтів у децентралізованих фінансах (DeFi), під час яких, як стверджує Circle, компанія не використала свої можливості ончейн-заморожування та чорного списку, щоб зупинити потік викрадених коштів.

Ймовірна бездіяльність Circle

Токен-контракт Circle містить явну функцію freeze/blacklist, а умови надання послуг компанії залишають за собою право обмежувати доступ для підозрюваних осіб, які вчиняють незаконні дії, “за власним розсудом.”

Втім, у звіті ЗахXBT стверджується, що в багатьох широко розрекламованих крадіжках і хакерських атаках емітент або відкладав дії, або взагалі не заморожував кошти, дозволяючи атакувальникам перекидати великі суми між блокчейнами та конвертувати їх в інші активи.

Звіт починається з експлойту протоколу Drift Protocol від April 1, 2026, під час якого атакувальник вивів приблизно $280 мільйонів. За даними ZachXBT, злодій використав Cross‑Chain Transfer Protocol (CCTP) Circle, щоб переказати понад 232 мільйони USDC із Solana (SOL) на Ethereum (ETH) у понад 100 транзакціях.

Інцидент мав хвилеві наслідки для екосистеми Solana, опосередковано вплинувши більш ніж на 10 проєктів DeFi. Попри те, що кошти годинами проходили через нативний бридж Circle, у звіті сказано, що під час відмивання жоден USDC не був заморожений.

ZachXBT також детально описує атаку від January 25, 2026 на SwapNet, унаслідок якої було викрадено $16 мільйонів. Близько $3 мільйонів у USDC залишалися на адресі експлойтера протягом двох днів. Як повідомляється, і правоохоронні, і аналітики приватного сектору подали до Circle тимчасові запити на заморожування для цієї адреси, але Circle не вчинила жодних дій

Втрати на рівні дев’ятизначних сум у хакерських атаках

Серед кількох інших випадків, на які посилається звіт, ZachXBT також вказує на ширші закономірності, що тривають довго. У квітні 2024 року він опублікував окреме розслідування щодо відмивання коштів Lazarus Group, яке простежило, як кошти щонайменше з двох десятків хакерських атак конвертувалися у фіат.

Зазначається, що правоохоронні органи запитували заморожування в чотирьох емітентів стейблкоїнів — Circle, Tether, Paxos і Techteryx — для двох адрес, пов’язаних із цим розслідуванням. У звіті стверджується, що інші три емітенти діяли швидко, тоді як Circle приблизно на 4,5 місяці довше заморожувала ті самі адреси.

У сукупності ZachXBT каже, що ці випадки — багато з них публічні та з високою вартістю — сумарно дають дев’ятизначні втрати для криптоекосистеми, спричинені повторюваною бездіяльністю протягом багаторічного періоду

Він наголошує, що сума “понад $420 мільйонів” охоплює лише ключові великі публічні інциденти, і що справжній загальний підсумок може бути суттєво вищим. Загальне твердження полягає в тому, що Circle має договірні та технічні інструменти для втручання, але не використовувала їх послідовно або оперативно — при цьому завдаючи конкретної шкоди жертвам і ширшій спільноті.

“У них є всі інструменти та ресурси, щоб зробити краще. Просто вони цього не зробили”, — пише він, завершуючи свій звіт влучним запитанням: кого, власне, обслуговує Circle?

Рекомендоване зображення від OpenArt, графік з TradingView.com