Ang Circle, ang kumpanya sa likod ng ikalawang pinakamalaking stablecoin sa mundo, ay alegadong nagpabilanggo habang ang isang hacker ay nagdala ng higit sa $230 milyon na pinagkakakitaang USDC sa pamamagitan ng sarili nitong cross-chain infrastructure. Ito ang akusasyon mula sa blockchain investigator na ZachXBT, na nagsasabi na mayroon ang Circle ng anim na oras upang magsagawa ng aksyon ngunit pinili na huwag gawin ito.
Ang mga pinagkakakitaang pondo ay nagmula sa pag-exploit ng Drift Protocol noong Abril 1, isang pag-atake na may halagang $280-$285 milyon na ngayon ay nasa listahan ng pinakamalalaking pag-atake sa kasaysayan ng DeFi. Ayon sa pagsusuri ni ZachXBT, ang attacker ay nag-bridge ng USDC mula sa Solana patungo sa Ethereum gamit ang Cross-Chain Transfer Protocol ni Circle, o CCTP, na naihatid sa higit sa 100 indibidwal na transaksyon. Iyon ay hindi talaga isang mahinahong pagtakas.
Ano ang nangyari sa Drift Protocol
Ang sariling pag-atake ay lubos na epektibo. Sa halip na pagsamantala sa isang bug sa smart contract, ang uri ng vulnerability na kadalasang dominante sa mga postmortem ng DeFi, ang hacker ay kompromitado ang administrative permissions ng Drift Protocol sa operational layer. Isipin ito hindi tulad ng pagpili ng isang lock kundi tulad ng pagkuha ng master key ng building manager.
Nagtrabaho ang buong exploit sa halos 12 minuto. Gumamit ang attacker ng pre-signed transactions na pinapadali ng durable nonces, isang teknik na nagbigay-daan sa kanila na i-queue ang mga withdrawal sa harap at ipagana sila nang mabilis na pagkakasunod-sunod. Sa oras na may nakakita, ang vault ay nasaan nang walang laman.
Ang tugon ng DRIFT token ay katastropiko. Bumagsak ito ng 98% mula sa kanyang pinakamataas na antas na $2.65, at tumatakbo sa ranggo ng $0.041 hanggang $0.06 sa mga sumunod na araw. Para sa konteksto, parang pinapanood mo ang isang stock na mula sa blue chip ay naging penny stock sa panahon na kailangan mong kumain ng lunch.
Ang kabuuang halaga na kinuha ay nasa pagitan ng $280 milyon at $285 milyon, gawa nito ang isa sa limang pinakamalaking DeFi exploit na nakarehistro. Ngunit ang sariling pag-atake ay hindi ang nagpapaloko sa komunidad ng cryptocurrency. Ito ay ang nangyari pagkatapos, o mas tama, ang hindi nangyari.
Ang anim-na oras na bintana ng Circle
Narito ang bagay tungkol sa USDC na nagpapakita ng pangunahing pagkakaiba nito mula sa mga decentralized stablecoin: may kill switch si Circle. Ang kumpanya ay maaaring mag-freeze ng USDC sa anumang wallet, anumang oras, para sa anumang dahilan. Ito ay isang tampok na umiiral eksaktong para sa mga sitwasyon tulad nito.
Mula noong ang pagkakatatag ng USDC, hinold ng Circle ang halos $110 milyon sa iba’t ibang wallet, karaniwan bilang tugon sa mga hiling ng batas o pagpapatupad ng mga parusa. Patuloy na ipinakita ng kumpanya na mayroon itong teknikal na kakayahan at pagkakataon na mag-act kapag kailangan ng sitwasyon.
Ayon kay ZachXBT, ang exploit sa Drift Protocol ay pinalabas sa publiko at malawakang pinag-usapan habang ang mga nasasakop na pondo ay patuloy na hinaharap. Ang bridging activity ay nangyari sa normal na oras ng paggawa. Ang compliance team ng Circle, sa teorya, ay may ganap na pagkakataon na i-flag at i-freeze ang mga transaksyon habang ito ay dumadaan sa CCTP.
Sa halip, higit sa $230 milyon na pinagtanggol na USDC ay lumipas mula sa Solana patungo sa Ethereum nang walang pagtigil. Higit sa 100 magkakahiwalay na transaksyon. Sa loob ng humigit-kumulang na anim na oras. Ang Circle, ang entidad na may eksklusibong awtoridad na pigilan ito, ay tila nagmamasid habang nangyayari ito.
Ang nagiging lalong kakaibang sitwasyon para sa Circle ay ang pagkakasunod-sunod ng panahon. Pinuntahan ni ZachXBT at iba pang mga obserbador na ilang araw bago ang Drift exploit, naglipat nang mabilis ang Circle upang i-blacklist ang iba pang mga wallet sa ilalim ng mga kalagayan na itinuturing ng marami sa industriya bilang kakaibang. Ipakita ng kumpanya na kayang mag-act nang mabilis kapag may motibasyon. Ang insidente sa Drift ay nagpapakita na ang motibasyon ay pinipili na ipapasa.
Bakit mahalaga ito kaysa sa isang pagpapalabas lang
Hindi ito isang niche token ang USDC. Ipinroseso nito ang $9.6 trilyon sa on-chain volume lamang noong Pebrero 2025. Ito ay naglilingkod bilang pundasyonal na imprastruktura sa dozens ng DeFi protocols, lending platforms, at trading venues. Kapag ang entidad na nagtataglay ng imprastrukturing ito ay hindi gumagawa ng aksyon habang nangyayari ang isang aktibong pagkakawala ng ganitong kalaking sukat, ang mga epekto ay umabot sa malalim na higit pa sa isang masamang araw para sa mga user ng Drift Protocol.
Ang pangunahang tensyon ay isang isyu na nagmumula sa pagkakalikha ng mga sentralisadong stablecoin. Ang kakayahan ng USDC na mag-freeze ay parehong pinakamalaking regulatibong punto ng pagbebenta at pinakamalaking kontrobersyal na tampok nito. Ang mga tagasuporta ay nagsasabi na ito ay nagpapaligtas sa USDC dahil maaaring mabawi ang mga perang nasakop. Ang mga kritiko naman ay nagtuturo na ito ay nagdudulot ng isang tanging punto ng pagkabigo, at mas masama pa, isang tanging punto ng pagpapasya.
Ang insidente ng Drift ay tumutukoy sa panig ng mga kritiko. Kung ang Circle ay nagf-freeze ng mga wallet ayon sa hiling ng mga gobyerno ngunit hindi nangyari sa isa sa pinakamalaking pagkakasira sa kasaysayan ng DeFi, ang pag-freeze function ay nagsisimula nang mukhang higit pa isang prop sa compliance theater kaysa isang mekanismo ng kaligtasan. Sa Ingles: ang kapangyarihan na tumulong ay umiiral, ngunit ang pagkakaroon ng kagustuhan na gamitin ito ay tila hindi konsistente sa pinakamabuting kaso.
Para sa mga institusyonal na investor na nagpapalakas sa DeFi, ito ay isang malamig na pagbaha ng katotohanan. Ang pagtitiwala na ang mga sentralisadong issuer ng stablecoin ay magiging backstop sa panahon ng krisis, na ang kanilang kontrol ay isang tampok at hindi isang bug, ay ngayon ay tila mas mababa ang kumpiyansa. Ang mga modelo ng panganib na tinuturing ang USDC bilang quasi-insured ay maaaring kailanganin ng pagbabago.
Tingnan mo, hindi pa publiko ang detalye ng Circle kung bakit hindi sila nag-intervene. Maaaring may legal o prosedural na paliwanag na hindi pa nabuo. Baka ang mga panloob na protokolo ay nangangailangan ng partikular na hiling mula sa batas upang maaaring gawin ang aksyon, kahit sa mga malinaw na pagkakasala. Pero ang imahe ay malala, at sa crypto, ang imahe at tiwala ay praktikal na pareho.
Malalim na pagbabago sa regulasyon ay malamang na magiging bahagi rin. Ang mga tagapagbatas na nagtatrabaho sa batas tungkol sa stablecoin sa US at sa ibang bansa ay hindi maiiwasang magturo sa insidente na ito habang pinag-uusapan ang mga framework para sa pagmamalasakit. Kung isang kumpanya na may $110 milyon sa kasaysayang pagpapahinga at real-time na pagmamasid sa sariling protokol ay hindi kayang o ayaw pigilan ang $230 milyon na makuha sa pamamagitan ng kanyang infrastraktura, ang mga regulador ay magtatanong kung ano nga ba ang layunin ng aparato ng pagpapatupad ng patakaran.
Mayroon ding kompetitibong aspeto na dapat subaybayan. Ang mga alternatibong modelo ng stablecoin, kahit ito ay mga ganap na decentralizadong opsyon tulad ng DAI o mga bagong collateralized na disenyo, ay maaaring makakuha ng pagtanggap habang ang mga user at protokolo ay muling isasakatuparan ang kanilang eksposur sa panganib ng centralized na tagapaglabas. Ang argumento para sa decentralization ay laging pilosopikal. Ngayon, mayroon itong case study na $230 milyon.
Para sa Drift Protocol nang hihiwalay, ang kinabukasan ay malalim. Ang pagbaba ng 98% sa token ay hindi lamang nagpapakita ng mga pagkawala sa papel. Ito ay nagpapalubha sa kaharian ng protocol, ang kanyang kakayahang magbigay ng kompensasyon sa mga biktima, at ang kanyang kakayahang magtarik ng mga developer o user sa hinaharap. Ang pagbabalik sa mga exploit na ganitong kalaking sukat ay rare. Ang pagbabalik sa mga exploit kung saan ang tagapaglabas ng stablecoin ay maaaring makatulong ngunit hindi nagawa ay halos walang alam.
Panghuling punto
Ang pag-exploit sa Drift Protocol ay nakakalason sa sarili nitong mga katangian. Ngunit ang malinaw na pagkakawala ng aksyon ng Circle sa isang anim-na-oras na panahon, habang dumadaloy ang $230 milyon na nasakop na USDC sa kanilang sariling bridge protocol, ay nagpapalit sa kuwento na ito mula sa isang karaniwang DeFi hack tungo sa isang mas pangunahing isyu. Ito ay nagtutulak sa buong industriya na harapin ang isang hindi kasiya-siyang tanong: kung ang mga sentralisadong tagapaglabas ng stablecoin ay hindi gagamit ng kanilang mga kakaibang kapangyarihan habang nangyayari ang mga kakaibang pagkakasira, ano nga ba ang layunin ng mga kapangyarihang iyon?