世界で2番目に大きなステーブルコインを運営するCircleは、ハッカーが自社のクロスチェーンインフラを通じて盗まれたUSDCを2億3000万ドル以上移動させる間、行動を起こさなかったという指摘が、ブロックチェーン調査員のZachXBTからなされた。ZachXBTは、Circleが約6時間の間に介入する機会があったが、それを選ばなかったと主張している。
盗まれた資金は、4月1日のDrift Protocolの攻撃に由来し、これは現在DeFi史上最大級の2億8千万〜2億8500万ドルの強奪事件です。ZachXBTの分析によると、攻撃者はCircleのCross-Chain Transfer Protocol(CCTP)を使用して、Solana上のUSDCをEthereumにブリッジし、100以上の個別取引に分散させました。これは決して控えめな退却ではありません。
Drift Protocolで何が起こりましたか
攻撃自体は非常に効率的で、DeFiの事後分析で最も一般的なスマートコントラクトのバグを悪用するのではなく、ハッカーはDrift Protocolの運用層における管理権限を侵害しました。鍵を撬くのではなく、建物の管理者のマスターキーを盗むようなものです。
この攻撃全体は約12分で実行されました。攻撃者は、耐久性のあるノンスを活用した事前署名トランザクションを使用し、引き出しを事前にキューに登録して高速に連続して実行しました。誰かが異常にも気づいた頃には、ヴァウトはすでに空になっていました。
DRIFTトークンの反応は壊滅的でした。歴史最高値の$2.65から98%下落し、その後は$0.041~$0.06の範囲で取引されました。たとえるなら、昼食を食べる間にブルーチップ株がペニー株に転落するのを見ているようなものです。
総額は2億8千万ドルから2億8500万ドルの間で、これは過去に記録された最大級のDeFi攻撃の一つとなった。しかし、暗号資産コミュニティを最も動揺させているのは、攻撃そのものではなく、その後に起きた(あるいは起らなかった)ことである。
Circleの6時間の窓
USDCが分散型ステーブルコインと本質的に異なる点は、Circleがキルスイッチを備えていることです。同社は、いつでも、どのような理由でも、どのウォレットのUSDCを凍結できます。これはこのような状況に備えて意図的に実装された機能です。
USDCの導入以来、Circleは法執行機関の要請や制裁遵守に対応して、複数のウォレットで約1億1000万ドルを凍結してきました。同社は、状況がそれを要求するたびに、技術的な能力と行動する意欲を繰り返し示してきました。
ZachXBTによると、Drift Protocolの不正アクセスは、盗まれた資金が移動し続けている間に公に発表され、広く議論された。ブリッジング活動は通常の営業時間中に発生した。Circleのコンプライアンスチームは、理論的には、資金がCCTPを通過する際に取引を警告し凍結する機会を十分に有していた。
代わりに、盗まれたUSDCが2億3,000万ドル以上、SolanaからEthereumへ干渉されることなく移動しました。100件以上の個別の取引が、約6時間にわたり行われました。この移動を止める権限を唯一持つCircleは、この出来事を見守っていたようです。
Circleにとって特に不都合なのは、タイミングである。ZachXBTやその他の観察者は、Driftの不正アクセスの数日前に、Circleが業界の多くの人々から疑問視された状況下で他のウォレットを迅速にブラックリストに追加したことを指摘している。同社は動機がある場合には迅速に行動できることを示していた。Driftの出来事は、その動機が選択的に適用されていることを示唆している。
このことが1つの不正行為を超えて重要な理由
USDCはニッチなトークンではありません。2025年2月だけで、オンチェーンでの取引高は9.6兆ドルを処理しました。これは、数十のDeFiプロトコル、貸出プラットフォーム、取引所で基盤となるインフラを担っています。この規模の盗難が発生している最中に、そのインフラを管理する主体が行動を起こさなかった場合、その影響はDrift Protocolのユーザーにとっての1日の悪影響をはるかに超えます。
この核心的な緊張関係は、中央集権的ステーブルコインが誕生以来ずっとつきまとうものである。USDCの凍結機能は、規制面での最大のアピールポイントであると同時に、最も議論を呼ぶ特徴でもある。支持者は、盗難された資金を回収できるため、USDCをより安全にすると主張する。一方、批判者は、これが単一の障害点を生み出し、さらに悪いことに、単一の裁量点を導入すると反論する。
Driftの出来事は批判派の立場を明確に裏付ける。Circleが政府の要請によってウォレットを凍結する一方で、DeFi史上最大級の盗難事件時には凍結しない場合、この凍結機能は安全対策というより、コンプライアンスのための演出に過ぎないように見える。英語で言えば、支援する力は存在するが、それを発動する意欲は、最良でも一貫性に欠けるように見える。
DeFiに徐々に注目を寄せてきた機関投資家にとって、これは現実の冷水である。中央集権的なステーブルコイン発行者が危機時にバックアップとして機能するという前提、そしてそのコントロールがバグではなく特徴であるという考え方は、今やはるかに信頼性が低くなった。USDCを準保険化された資産として扱っていたリスクモデルの見直しが必要かもしれない。
Circleは、介入しなかった理由を公に詳細に説明していません。まだ明らかになっていない法的または手続き的な説明があるかもしれません。明らかに盗難が発生している場合でも、内部プロトコルが特定の警察機関の要請を必要としている可能性があります。しかし、その見かけは非常に悪く、暗号資産業界では、見かけと信頼は実質的に同じものです。
より広範な規制に関する議論もまた変化する可能性がある。米国および海外でステーブルコイン関連法案を策定している立法機関は、監督枠組みの議論において、この出来事を避けられず言及するだろう。過去に1億1000万ドルの凍結履歴があり、自らのプロトコルをリアルタイムで監視できる企業が、自社インフラを通じて2億3000万ドルが盗まれることを防げなかった、または防ごうとしなかった場合、規制当局はコンプライアンス体制が具体的に何を達成するために設計されているのかを問うだろう。
また、注目すべき競争的な側面もあります。DAIのような完全に分散型のステーブルコインモデルや、新しい担保型設計など、ユーザーとプロトコルが中央発行者リスクへの露出を見直す中で、これらのモデルが広がる可能性があります。分散化の主張はこれまで哲学的なものでしたが、今や2億3000万ドルの事例がその根拠となりました。
Drift Protocolに特化して言えば、今後の道のりは厳しい。トークン価値が98%下落することは、単なる紙上の損失にとどまらない。これはプロトコルの財務基盤を崩壊させ、被害者への補償能力を奪い、今後の開発者やユーザーの吸引能力をも著しく損なう。このような規模の攻撃からの回復は稀である。さらに、ステーブルコイン発行者が支援できたが行わなかったケースにおける回復は、まさに未踏の領域である。
要するに
Driftプロトコルの攻撃はそれ自体で甚大な被害をもたらした。しかし、盗まれた2億3000万ドル分のUSDCがCircle自体のブリッジプロトコルを通過する間、6時間にわたりCircleが明らかに行動を起こさなかったことにより、これは従来のDeFiハッキングの話から、より本質的な問題へと変貌した。これは業界全体に、不快な問いを突きつける:中央集権的なステーブルコイン発行者が、異常な盗難時にその異常な権限を行使しないのであれば、その権限とは一体何のためなのか?