Circle, l'entreprise derrière la deuxième plus grande stablecoin au monde, aurait resté inactrice tandis qu'un pirate informatique a acheminé plus de 230 millions de dollars de USDC volés à travers son propre infrastructure interchaînes. C'est l'accusation formulée par l'enquêteur blockchain ZachXBT, qui affirme que Circle disposait d'environ six heures pour intervenir et a choisi de ne pas le faire.
Les fonds volés proviennent de l'exploitation du protocole Drift du 1er avril, un vol de 280 à 285 millions de dollars qui figure désormais parmi les plus importants de l'histoire du DeFi. Selon l'analyse de ZachXBT, l'attaquant a transféré l'USDC de Solana vers ethereum en utilisant le protocole de transfert interchaînes de Circle, ou CCTP, réparti sur plus de 100 transactions individuelles. Ce n'est pas exactement une sortie discrète.
Qu'est-ce qui s'est passé sur Drift Protocol ?
L'attaque elle-même a été d'une efficacité brutale. Plutôt que d'exploiter un bug de contrat intelligent, ce type de vulnérabilité qui domine la plupart des analyses post-attaque DeFi, le pirate a compromis les permissions administratives du protocole Drift au niveau opérationnel. Imaginez-le moins comme une effraction et plus comme le vol de la clé maîtresse du gestionnaire de l'immeuble.
L'exploitation entière a pris environ 12 minutes pour être exécutée. L'attaquant a utilisé des transactions pré-signées facilitées par des nonces durables, une technique qui leur a permis de planifier les retraits à l'avance et de les lancer en succession rapide. Au moment où quelqu'un s'en est rendu compte, le coffre était déjà vide.
La réaction du token DRIFT a été catastrophique. Il a chuté de 98 % par rapport à son plus haut historique de 2,65 $, évoluant dans une fourchette de 0,041 $ à 0,06 $ par la suite. Pour donner un point de comparaison, c’est comme regarder une action passer d’une valeur bleue à une action à faible cours pendant le temps qu’il faut pour déjeuner.
Le montant total volé s’élève entre 280 millions et 285 millions de dollars, ce qui en fait l’une des cinq plus grandes attaques DeFi jamais enregistrées. Mais ce n’est pas l’attaque elle-même qui agite le plus la communauté crypto, c’est ce qui s’est produit ensuite — ou plutôt, ce qui ne s’est pas produit.
La fenêtre de six heures de Circle
Voici ce qui rend USDC fondamentalement différent des stablecoins décentralisés : Circle dispose d’un interrupteur d’arrêt. L’entreprise peut geler des USDC dans n’importe quel wallet, à tout moment, pour n’importe quelle raison. C’est une fonctionnalité conçue précisément pour des situations comme celle-ci.
Depuis son lancement, Circle a gelé environ 110 millions de dollars USDC dans divers wallets, généralement en réponse à des demandes des autorités ou à des exigences de conformité aux sanctions. L'entreprise a démontré à plusieurs reprises qu'elle possède à la fois la capacité technique et la volonté d'agir lorsque les circonstances l'exigent.
Selon ZachXBT, l'exploitation du protocole Drift a été annoncée publiquement et largement discutée tandis que les fonds volés étaient encore en cours de transfert. L'activité de pontage s'est produite pendant les heures normales de bureau. L'équipe de conformité de Circle avait, en théorie, toutes les opportunités de signaler et de bloquer les transactions au fur et à mesure qu'elles traversaient le CCTP.
Au lieu de cela, plus de 230 millions de dollars en USDC volés ont traversé de Solana vers Ethereum sans aucune intervention. Plus de 100 transactions distinctes. Sur environ six heures. Circle, l'entité ayant l'autorité exclusive pour arrêter cela, a apparemment assisté à l'événement.
Ce qui rend cela particulièrement gênant pour Circle, c’est le timing. ZachXBT et d’autres observateurs ont souligné que quelques jours seulement avant l’exploit Drift, Circle avait rapidement blacklisté d’autres wallets dans des circonstances que beaucoup dans l’industrie considéraient comme douteuses. L’entreprise a démontré qu’elle pouvait agir rapidement lorsqu’elle était motivée. L’incident Drift suggère que cette motivation est appliquée de manière sélective.
Pourquoi cela importe au-delà d’une seule exploitation
USDC n'est pas un jeton de niche. Il a traité 9,6 billions de dollars de volume sur chaîne uniquement en février 2025. Il sert d'infrastructure fondamentale pour des dizaines de protocoles DeFi, plateformes de prêt et lieux de trading. Lorsque l'entité qui contrôle cette infrastructure ne réagit pas pendant un vol d'une telle ampleur, les implications dépassent largement une simple mauvaise journée pour les utilisateurs de Drift Protocol.
La tension fondamentale est celle qui hante les stablecoins centralisés depuis leur création. La capacité de gel de USDC est à la fois son atout réglementaire majeur et sa fonction la plus controversée. Les partisans affirment qu'elle rend USDC plus sûr, car les fonds volés peuvent être récupérés. Les critiques rétorquent qu'elle introduit un point unique de défaillance et, pire encore, un point unique de discrétion.
L'incident Drift tombe directement du côté des critiques. Si Circle gèle des wallets à la demande des gouvernements, mais pas lors d'un des plus grands vols de l'histoire du DeFi, la fonction de gel semble moins un mécanisme de sécurité qu'un accessoire de théâtre de conformité. En anglais : le pouvoir d'aider existe, mais la volonté de l'exercer semble incohérente au mieux.
Pour les investisseurs institutionnels qui se tournaient vers la DeFi, c’est une douche froide de réalité. L’hypothèse selon laquelle les émetteurs de stablecoins centralisés agiraient comme un filet de sécurité pendant les crises, et que leur contrôle était une fonctionnalité plutôt qu’un défaut, semble désormais bien moins fiable. Les modèles de risque qui traitaient USDC comme quasi-assuré pourraient nécessiter une révision.
Regardez, Circle n’a pas publiquement exposé ses raisons pour ne pas intervenir. Il peut exister des explications légales ou procédurales qui n’ont pas encore été révélées. Peut-être que les protocoles internes exigent des demandes spécifiques des forces de l’ordre avant toute action, même lors de vols évidents. Mais l’image est catastrophique, et dans la crypto, l’image et la confiance sont fonctionnellement identiques.
La conversation réglementaire plus large est susceptible de changer également. Les législateurs travaillant sur une législation relative aux stablecoins aux États-Unis et à l'étranger citeront inévitablement cet incident lors des débats sur les cadres de supervision. Si une entreprise ayant un historique de gel de 110 millions de dollars et une visibilité en temps réel sur son propre protocole ne peut ou ne veut pas empêcher le vol de 230 millions de dollars via son infrastructure, les régulateurs demanderont ce que le dispositif de conformité est précisément conçu pour accomplir.
Il y a aussi un angle concurrentiel à surveiller. Les modèles alternatifs de stablecoins, qu’il s’agisse d’options entièrement décentralisées comme DAI ou de nouvelles conceptions adossées, pourraient gagner en popularité alors que les utilisateurs et les protocoles réévaluent leur exposition au risque lié aux émetteurs centralisés. L’argument en faveur de la décentralisation a toujours été philosophique. Il dispose désormais d’une étude de cas de 230 millions de dollars.
Pour le protocole Drift spécifiquement, l’avenir est sombre. Une baisse de 98 % du token ne représente pas seulement des pertes sur papier. Elle détruit le trésor du protocole, sa capacité à indemniser les victimes et sa capacité à attirer des développeurs ou des utilisateurs à l’avenir. La reprise après des exploitations de cette envergure est rare. La reprise après des exploitations où l’émetteur de stablecoin aurait pu aider mais n’a pas agi est essentiellement inexplorée.
Conclusion
L'exploitation du protocole Drift était déjà dévastatrice en soi. Mais l'apparente inaction de Circle pendant une fenêtre de six heures, pendant que 230 millions de dollars en USDC volés traversaient son propre protocole de pont, transforme cette histoire d'attaque DeFi classique en quelque chose de plus fondamental. Elle oblige toute l'industrie à faire face à une question inconfortable : si les émetteurs centralisés de stablecoins n'utilisent pas leurs pouvoirs extraordinaires lors de vols extraordinaires, à quoi servent exactement ces pouvoirs ?