Circle, syarikat di sebalik koin stabil terbesar kedua di dunia, didakwa tidak bertindak sementara seorang perompak mengalirkan lebih daripada $230 juta USDC yang dicuri melalui infrastruktur lintas-blok rantai miliknya sendiri. Itu adalah dakwaan daripada penyiasat blok rantai ZachXBT, yang menyatakan Circle mempunyai tempoh kira-kira enam jam untuk bertindak tetapi memilih tidak melakukannya.
Dana yang dicuri berasal daripada eksploitasi Drift Protocol pada 1 April, perampasan sebanyak $280-$285 juta yang kini berada di antara yang terbesar dalam sejarah DeFi. Menurut analisis ZachXBT, penyerang telah menghubungkan USDC dari Solana ke ethereum menggunakan Protokol Pindah Silang Circle, atau CCTP, yang tersebar melalui lebih daripada 100 transaksi individu. Itu bukanlah pelarian yang halus.
Apa yang berlaku di Drift Protocol
Serangan itu sendiri sangat berkesan dan kejam. Alih-alih memanfaatkan kelemahan kontrak pintar, jenis kerentanan yang mendominasi kebanyakan analisis pasca-serangan DeFi, perompak itu mengompromikan kebenaran pentadbiran Drift Protocol pada lapisan operasi. Bayangkan ia bukan seperti memilih kunci, tetapi lebih seperti mencuri kunci utama pengurus bangunan.
Seluruh eksploitasi mengambil masa kira-kira 12 minit untuk dilaksanakan. Penyerang menggunakan transaksi yang telah ditandatangani sebelumnya yang difasilitasi oleh nonce yang tahan lama, teknik yang membolehkan mereka mengantre penarikan terlebih dahulu dan melepaskannya secara berturut-turut dengan pantas. Pada masa siapa pun menyedari, kotak simpanan sudah kosong.
Tindak balas token DRIFT adalah bencana. Ia jatuh 98% dari tertinggi sepanjang masa sebanyak $2.65, berdagang dalam julat $0.041 hingga $0.06 selepas itu. Sebagai perbandingan, ia seperti menyaksikan saham bergerak dari saham unggul kepada saham seni dalam masa yang diperlukan untuk makan makan tengah hari.
Jumlah rampasan yang diperoleh berada antara $280 juta dan $285 juta, menjadikan ini salah satu daripada lima serangan DeFi terbesar yang pernah direkodkan. Tetapi serangan itu sendiri bukanlah perkara yang paling mengganggu komuniti kripto. Ia adalah apa yang berlaku seterusnya, atau lebih tepatnya, apa yang tidak berlaku.
Jendela enam jam Circle
Ini adalah perkara tentang USDC yang menjadikannya berbeza secara mendasar daripada koin stabil terdesentralisasi: Circle mempunyai suis pembunuh. Syarikat ini boleh membekukan USDC dalam sebarang dompet, pada bila-bila masa, untuk sebarang sebab. Ia adalah ciri yang wujud khusus untuk situasi seperti ini.
Sejak pelancaran USDC, Circle telah membekukan sekitar $110 juta di pelbagai dompet, biasanya sebagai tindak balas terhadap permintaan penegak undang-undang atau kepatuhan terhadap sanksi. Syarikat ini telah menunjukkan, berulang kali, bahawa ia mempunyai kemampuan teknikal dan kesediaan untuk bertindak apabila keadaan memerlukannya.
Menurut ZachXBT, eksploitasi Drift Protocol diumumkan secara awam dan dibincangkan secara meluas semasa dana yang dicuri masih sedang dipindahkan. Aktiviti jambatan berlaku semasa jam pejabat biasa. Pasukan kepatuhan Circle, secara teori, mempunyai peluang penuh untuk menandai dan membekukan transaksi semasa ia mengalir melalui CCTP.
Sebaliknya, lebih daripada $230 juta USDC yang dicuri berpindah dari Solana ke ethereum tanpa gangguan. Lebih daripada 100 transaksi berasingan. Dalam tempoh kira-kira enam jam. Circle, entiti yang mempunyai kuasa tunggal untuk menghentikan ini, kelihatannya memantau kejadian ini.
Yang menjadikan ini terutama tidak selesa bagi Circle ialah ketepatan masa. ZachXBT dan pemerhati lain telah menunjukkan bahawa beberapa hari sebelum eksploit Drift, Circle telah bertindak pantas untuk membendung dompet-dompet lain dalam keadaan yang dianggap meragukan oleh ramai dalam industri tersebut. Syarikat tersebut menunjukkan bahawa ia mampu bertindak pantas apabila termotivasikan. Insiden Drift menunjukkan bahawa motivasi tersebut diterapkan secara selektif.
Mengapa ini penting melebihi satu eksploitasi
USDC bukanlah token sempit. Ia memproses volume dalam talian sebanyak $9.6 trilion sahaja pada Februari 2025. Ia berfungsi sebagai infrastruktur asas di seluruh lusinan protokol DeFi, platform pinjaman, dan tempat perniagaan. Apabila entiti yang mengawal infrastruktur ini gagal bertindak semasa pencurian aktif sebesar ini, implikasinya melampaui sehari yang buruk sahaja bagi pengguna Drift Protocol.
Tegangan utama adalah satu yang telah menghantui koin stabil terpusat sejak penciptaannya. Kemampuan USDC untuk membekukan dana secara serentak merupakan titik jual regulasi terbesarnya dan ciri paling kontroversialnya. Penganjur berhujah bahawa ia menjadikan USDC lebih selamat kerana dana yang dicuri boleh dipulihkan. Pengkritik berpendapat bahawa ia memperkenalkan satu titik kegagalan, dan lebih buruk lagi, satu titik kebijaksanaan tunggal.
Insiden Drift jatuh tepat di pihak kritikus. Jika Circle membekukan dompet atas permintaan kerajaan tetapi tidak semasa salah satu pencurian terbesar dalam sejarah DeFi, fungsi pembekuan kelihatan kurang seperti mekanisme keselamatan dan lebih seperti alat peraga komplians. Dalam bahasa Inggeris: kuasa untuk membantu wujud, tetapi kesediaan untuk melaksanakannya kelihatan tidak konsisten sekurang-kurangnya.
Bagi pelabur institusi yang telah mula tertarik kepada DeFi, ini adalah percikan sejuk kenyataan. Anggapan bahawa penerbit koin stabil terpusat akan bertindak sebagai penjamin semasa krisis, bahawa kawalan mereka adalah ciri bukan kelemahan, kini kelihatan jauh kurang boleh dipercayai. Model risiko yang memperlakukan USDC sebagai hampir terinsurans mungkin perlu ditinjau semula.
Lihat, Circle belum menerangkan secara awam sebab-sebabnya tidak mengambil tindakan. Mungkin terdapat penjelasan undang-undang atau prosedural yang belum terungkap. Mungkin protokol dalaman memerlukan permintaan khusus daripada pihak berkuasa penegak undang-undang sebelum tindakan boleh diambil, walaupun dalam kes pencurian yang jelas. Tetapi imejnya sangat buruk, dan dalam kripto, imej dan keyakinan pada dasarnya adalah perkara yang sama.
Perbincangan peraturan yang lebih luas juga kemungkinan akan berubah. Ahli undang-undang yang bekerja pada undang-undang koin stabil di AS dan luar negara pasti akan merujuk kepada insiden ini semasa perbincangan kerangka pengawasan. Jika sebuah syarikat dengan sejarah pembekuan sebanyak $110 juta dan kelihatan masa nyata terhadap protokolnya sendiri tidak mampu atau tidak bersedia menghentikan pencurian $230 juta melalui infrastrukturinya, pengawas akan bertanya apa sebenarnya tujuan aparatus kepatuhan tersebut.
Terdapat juga sudut persaingan yang patut dipantau. Model koin stabil alternatif, sama ada pilihan sepenuhnya terdesentralisasi seperti DAI atau reka bentuk bersagad baru, mungkin mendapat tarikan apabila pengguna dan protokol menilai semula eksposur mereka terhadap risiko penerbit terpusat. Hujah untuk terdesentralisasi selalu bersifat falsafah. Kini ia mempunyai kes studi bernilai $230 juta.
Khusus untuk Drift Protocol, jalan ke depan adalah suram. Penurunan token 98% bukan sekadar kerugian kertas. Ia menghancurkan perbendaharaan protokol, kemampuannya untuk membalas korban, dan kapasitasnya untuk menarik pembangun atau pengguna ke depan. Pemulihan daripada serangan berskala sebegini adalah jarang. Pemulihan daripada serangan di mana penerbit koin stabil boleh membantu tetapi tidak melakukannya adalah wilayah yang tidak pernah dilalui.
Kesimpulan
Pengeksploitasian Protokol Drift sudah merosakkan sendiri. Tetapi ketiadaan tindakan jelas daripada Circle semasa jangka masa enam jam, semasa $230 juta USDC yang dicuri mengalir melalui protokol jembatannya sendiri, mengubah cerita ini dari satu serangan DeFi biasa kepada sesuatu yang lebih asas. Ia memaksa seluruh industri untuk menghadapi soalan yang tidak selesa: jika penerbit koin stabil terpusat tidak akan menggunakan kuasa luar biasa mereka semasa pencurian luar biasa, apakah sebenarnya tujuan kuasa-kuasa itu?