Circle, la empresa detrás de la segunda stablecoin más grande del mundo, supuestamente se mantuvo inactiva mientras un hacker transfirió más de $230 millones en USDC robado a través de su propia infraestructura entre cadenas. Esa es la acusación del investigador de cadena de bloques ZachXBT, quien afirma que Circle tuvo aproximadamente seis horas para intervenir y decidió no hacerlo.
Los fondos robados provienen de la explotación del Drift Protocol el 1 de abril, un robo de entre $280 y $285 millones que ahora se ubica entre los más grandes en la historia del DeFi. Según el análisis de ZachXBT, el atacante puenteó el USDC desde Solana a Ethereum utilizando el Cross-Chain Transfer Protocol de Circle, o CCTP, distribuido en más de 100 transacciones individuales. Eso no es exactamente una salida sutil.
¿Qué pasó en Drift Protocol?
El ataque en sí fue brutalmente eficiente. En lugar de explotar un bug en un contrato inteligente, el tipo de vulnerabilidad que domina la mayoría de los postmortems de DeFi, el hacker comprometió los permisos administrativos del Drift Protocol en la capa operativa. Piénselo menos como abrir una cerradura y más como robar la llave maestra del administrador del edificio.
La explotación completa tomó aproximadamente 12 minutos para ejecutarse. El atacante utilizó transacciones previamente firmadas facilitadas por nonces duraderos, una técnica que les permitió programar retiros con anticipación y ejecutarlos en rápida sucesión. Para cuando alguien se dio cuenta, la bóveda ya estaba vacía.
La respuesta del token DRIFT fue catastrófica. Se desplomó un 98% desde su máximo histórico de $2.65, operando en un rango de $0.041 a $0.06 en los días posteriores. Para tener contexto, es como ver cómo una acción pasa de ser de primera línea a ser una acción de centavos en el tiempo que lleva comer un almuerzo.
La cantidad total sustraída osciló entre 280 millones y 285 millones de dólares, lo que convierte a este incidente en uno de los cinco mayores ataques a DeFi registrados hasta la fecha. Pero el ataque en sí no es lo que más agita a la comunidad cripto. Es lo que sucedió después, o más bien, lo que no sucedió.
La ventana de seis horas de Circle
Lo que hace que el USDC sea fundamentalmente diferente de las stablecoins descentralizadas es que Circle tiene un interruptor de apagado. La empresa puede congelar USDC en cualquier monedero, en cualquier momento, por cualquier razón. Es una característica que existe precisamente para situaciones como esta.
Desde su creación, Circle ha congelado aproximadamente $110 millones en diversos monederos, generalmente en respuesta a solicitudes de las autoridades o al cumplimiento de sanciones. La empresa ha demostrado, repetidamente, que posee tanto la capacidad técnica como la disposición para actuar cuando las circunstancias lo requieren.
Según ZachXBT, la explotación del Protocolo Drift fue anunciada públicamente y ampliamente discutida mientras los fondos robados aún se estaban moviendo. La actividad de puente ocurrió durante horas laborales normales. El equipo de cumplimiento de Circle, en teoría, tuvo todas las oportunidades para detectar y congelar las transacciones mientras fluían a través de CCTP.
En cambio, más de $230 millones en USDC robados cruzaron de Solana a Ethereum sin interferencia. Más de 100 transacciones separadas. En aproximadamente seis horas. Circle, la entidad con la única autoridad para detenerlo, aparentemente observó cómo ocurría.
Lo que hace particularmente incómodo esto para Circle es el momento. ZachXBT y otros observadores han señalado que apenas días antes del exploit de Drift, Circle había actuado rápidamente para bloquear otros monederos bajo circunstancias que muchos en la industria consideraron cuestionables. La empresa demostró que podía actuar con rapidez cuando estaba motivada. El incidente de Drift sugiere que la motivación se aplica de forma selectiva.
Por qué esto importa más allá de una sola vulnerabilidad
USDC no es un token de nicho. Solo en febrero de 2025, procesó $9.6 billones en volumen en cadena. Sirve como infraestructura fundamental en docenas de protocolos DeFi, plataformas de préstamos y lugares de intercambio. Cuando la entidad que controla esa infraestructura no actúa durante un robo activo de esta magnitud, las implicaciones trascienden mucho más allá de un mal día para los usuarios de Drift Protocol.
La tensión central es la que ha acechado a las stablecoins centralizadas desde su creación. La capacidad de congelar de USDC es al mismo tiempo su mayor ventaja regulatoria y su característica más controvertida. Los defensores argumentan que hace a USDC más segura, ya que los fondos robados pueden recuperarse. Los críticos responden que introduce un único punto de fallo y, peor aún, un único punto de discreción.
El incidente de Drift cae directamente en el bando de los críticos. Si Circle congela monederos a solicitud de gobiernos pero no durante uno de los mayores robos en la historia de DeFi, la función de congelación comienza a parecer menos un mecanismo de seguridad y más un accesorio de teatro de cumplimiento. En inglés: el poder de ayudar existe, pero la voluntad de implementarlo parece inconsistente como mínimo.
Para los inversores institucionales que se han ido calentando hacia el DeFi, esto es un chaparrón frío de realidad. La suposición de que los emisores centralizados de stablecoins actuarían como respaldo durante crisis, que su control era una característica y no un defecto, ahora parece considerablemente menos confiable. Los modelos de riesgo que trataban al USDC como cuasi-segurado pueden necesitar revisión.
Mira, Circle no ha detallado públicamente sus razones para no intervenir. Podría haber explicaciones legales o procedimentales que aún no han salido a la luz. Quizás los protocolos internos requieren solicitudes específicas de las autoridades policiales antes de poder tomar acción, incluso durante robos evidentes. Pero la percepción es devastadora, y en cripto, la percepción y la confianza son esencialmente lo mismo.
La conversación regulatoria más amplia también probablemente cambie. Los legisladores que trabajan en la legislación sobre stablecoins en EE. UU. y en el extranjero inevitablemente harán referencia a este incidente al debatir marcos de supervisión. Si una empresa con $110 millones en congelaciones históricas y visibilidad en tiempo real sobre su propio protocolo no puede o no quiere detener el robo de $230 millones a través de su infraestructura, los reguladores preguntarán qué es exactamente lo que está diseñado para lograr el aparato de cumplimiento.
También hay un ángulo competitivo que vale la pena observar. Los modelos alternativos de stablecoin, ya sean opciones completamente descentralizadas como DAI o diseños más recientes respaldados, podrían ganar popularidad a medida que los usuarios y protocolos reevalúan su exposición al riesgo del emisor centralizado. El argumento a favor de la descentralización siempre ha sido filosófico. Ahora tiene un estudio de caso de $230 millones.
Para Drift Protocol en particular, el camino por delante es sombrío. Una caída del 98% en el token no solo representa pérdidas contables. Destruye la tesorería del protocolo, su capacidad para compensar a las víctimas y su habilidad para atraer desarrolladores o usuarios en el futuro. La recuperación tras exploits de esta magnitud es rara. La recuperación tras exploits donde el emisor de la stablecoin podría haber ayudado pero no lo hizo es esencialmente un territorio inexplorado.
En resumen
La explotación del Protocolo Drift fue devastadora por sus propios méritos. Pero la aparente inacción de Circle durante una ventana de seis horas, mientras $230 millones en USDC robados fluían a través de su propio protocolo puente, transforma esto de una historia típica de hackeo DeFi en algo más fundamental. Obliga a toda la industria a enfrentar una pregunta incómoda: si los emisores centralizados de stablecoins no utilizan sus poderes extraordinarios durante robos extraordinarios, ¿para qué sirven exactamente esos poderes?