Circle sob fogo por permitir que $285M em USDC roubado se movam livremente durante o hack do Drift

O investigador on-chain ZachXBT criticou a Circle em 2 de abril de 2026 por não ter agido, enquanto milhões em USDC roubados transitavam pelo seu Protocolo de Transferência entre Cadeias (CCTP) durante o exploit do Drift Protocol no valor de $285 milhões, apesar de a entidade emissora ter congelado 16 carteiras comerciais dias antes num processo civil selado.

O ataque de 1 de abril ao DEX descentralizado baseado em Solana classifica-se como o maior exploit DeFi de 2026, tendo o atacante evitado deliberadamente o USDT da Tether durante a ponte—sugerindo confiança de que a Circle não iria congelar os fundos.

Drift Protocol sofre um exploit de $285 milhões enquanto o USDC roubado atravessa sem impedimentos

O Drift Protocol, uma plataforma de futuros perpétuos na Solana, sofreu uma enorme drenagem de cofres em 1 de abril de 2026. A empresa de segurança PeckShield e a plataforma de análise de blockchain Arkham Intelligence sinalizaram aproximadamente $285 milhões em saídas do cofre principal do Drift para carteiras controladas pelo atacante. O atacante movimentou os ativos roubados, envolvendo fortemente USDC, através de várias carteiras antes de os fazer transitar de Solana para Ethereum usando o Protocolo de Transferência entre Cadeias (CCTP) da Circle.

As transferências ocorreram durante o horário comercial dos EUA e continuaram por horas sem qualquer intervenção da Circle. ZachXBT afirmou que a Circle estava “a dormir” enquanto muitos milhões de USDC eram trocados via CCTP de Solana para Ethereum durante o hack de nove dígitos. O investigador de segurança Specter observou que o atacante manteve USDC em carteiras durante um a três horas antes de o trocar e evitou deliberadamente converter para o Tether (USDT) durante o processo de ponte, sugerindo confiança de que a Circle não iria congelar os fundos—confiança que se veio a revelar justificada.

A política de congelamento inconsistente da Circle gera críticas de hipocrisia

O timing intensificou a frustração. Poucos dias antes do exploit do Drift, a 23 de março de 2026, a Circle congelou os saldos de 16 carteiras comerciais hot não relacionadas, como parte de um caso civil dos EUA selado. Essa ação interrompeu as operações de bolsas, cassinos e processadores de pagamentos. ZachXBT tinha anteriormente referido que esse congelamento poderia ser o mais incompetente que tinha visto em mais de cinco anos, defendendo que a análise on-chain mostrava que as carteiras estavam envolvidas em atividade legítima.

Mais tarde, a Circle descongelou uma carteira ligada ao Goated.com a 26 de março, mas a maioria permaneceu bloqueada. O contraste é marcante: a Circle agiu de forma agressiva num assunto civil que afetava empresas a realizar operações que pareciam ser normais, mas durante um roubo confirmado de nove dígitos de um protocolo DeFi com fundos roubados a transitar ostensivamente pela sua própria infraestrutura de bridging, a empresa não tomou qualquer ação.

ZachXBT também associou este comportamento às funcionalidades de privacidade opcionais propostas pela Circle na sua próxima blockchain Arc, sugerindo que essas funcionalidades poderiam reduzir ainda mais a responsabilização de conformidade, limitando quem pode ver transações.

Impacto no mercado e debate na indústria

Do lado de Ethereum, o atacante trocou os ativos roubados por aproximadamente 129.000 ETH. O valor total bloqueado do Drift caiu de aproximadamente $550 milhões para $247 milhões, uma queda de mais de metade, e o seu token nativo DRIFT desceu quase 28%. O atacante terá provavelmente começado a lavar fundos através de mixers ou de bolsas descentralizadas, tornando a recuperação cada vez menos provável.

O incidente reacendeu o debate sobre se os emissores centralizados de stablecoins conseguem justificar a sua autoridade de congelamento quando a aplicam de forma inconsistente. Os emissores de stablecoins comercializam os seus produtos como camadas neutras de liquidação para a economia descentralizada, mas tanto o USDC como o USDT operam sob termos que concedem autoridade unilateral de congelamento, concebida para cumprir pedidos das forças de segurança e ordens judiciais. O problema não é que essa autoridade exista—conformidade é razoável e esperada—mas que a sua aplicação parece depender mais de quem está a pedir do que do que aconteceu.

Para construtores e investidores, o incidente sublinha que os emissores centralizados de stablecoins não são prestadores de utilidade neutros. São guardiões com obrigações legais, incentivos comerciais e padrões de aplicação que nem sempre se alinham com os interesses dos protocolos que dependem deles.

FAQ

O que é que ZachXBT acusou a Circle de fazer durante o hack do Drift?

ZachXBT acusou a Circle de não agir enquanto milhões em USDC roubados se movimentavam livremente através do seu Protocolo de Transferência entre Cadeias (CCTP) durante horas, no exploit do Drift Protocol de $285 milhões, apesar de as transferências ocorrerem durante o horário comercial dos EUA. Ele contrapôs isso com o congelamento agressivo da Circle de 16 carteiras comerciais dias antes, num caso civil.

Como é que o atacante do Drift demonstrou confiança de que a Circle não iria congelar os fundos?

O atacante manteve USDC em carteiras durante um a três horas antes de trocar e evitou deliberadamente converter para o USDT da Tether durante o processo de ponte, sugerindo que o hacker estava confiante de que a Circle não iria congelar os fundos. Essa confiança era justificada, já que a Circle não tomou qualquer ação.

Qual foi o impacto no mercado do hack do Drift?

O valor total bloqueado do Drift colapsou de aproximadamente $550 milhões para $247 milhões, uma queda de mais de metade, e o seu token nativo DRIFT caiu quase 28%. Do lado de Ethereum, o atacante trocou os ativos roubados por aproximadamente 129.000 ETH, tornando a recuperação cada vez mais improvável à medida que os fundos são lavados.