A Circle listou como proibido o endereço do contrato inteligente por trás do token USDC confidencial da Zama na sexta-feira, bloqueando aproximadamente US$ 12,6 milhões em stablecoins dentro de um protocolo de privacidade que não é, por si só, alvo de qualquer ação judicial.
O congelamento atingiu o wrapper cUSDC da Zama, um proxy ERC-1967 que agrupa USDC em nome dos titulares que usam a criptografia totalmente homomórfica do protocolo para ocultar saldos no ethereum. O investigador on-chain ZachXBT estimou o saldo preso em 12.606.386,10 USDC e disse que o bloco foi minerado às 01:08 UTC em 30 de maio. A Circle não explicou publicamente a ação.
A ação é o maior caso em dólares até hoje de um problema familiar de DeFi: a lista negra centralizada de um emissor de stablecoin atravessou um contrato composto e bloqueou usuários inocentes junto com um único depositante alvo. A Zama, que levantou uma rodada Series B no ano passado para sua pilha de blockchain confidencial, é o primeiro protocolo DeFi nomeado a ser pego nesse cruzamento nessa escala.
Como o Congelamento Alcançou um Contrato Inocente
O gatilho foi uma disputa civil relacionada ao Overnight Finance, um protocolo DeFi baseado em token OVN cujos detentores alegaram que a equipe estava se preparando para esvaziar o tesouro e recentemente votou no Snapshot para distribuir os fundos. Os autores da ação judicial subjacente estão buscando indenizações contra o fundador do Overnight Finance, Maxim Ermilov; o ZachXBT nomeou a Patagon Management, uma empresa sediada em Delaware com histórico de processar projetos DAO, como um dos autores.
Um tribunal emitiu uma ordem judicial contra carteiras vinculadas à disputa na noite anterior à movimentação da Circle. O endereço supostamente ligado aos fundos contestados havia depositado cerca de US$ 12,4 milhões em USDC no wrapper cUSDC da Zama em 11 de maio, representando mais de 99% do saldo do wrapper. A ordem solicitou à Circle que congelasse o wrapper em si, e não o depositante; a Circle cumpriu. A lista negra bloqueia todos os USDC no pool, não apenas a parte contestada.
O que a Zama afirma poder fazer
O CEO da Zama, Rand Hindi, confirmou a investigação às 10:37 UTC. "Estamos investigando o congelamento do contrato cUSDC. Vou atualizar aqui à medida que a situação avançar", ele escreveu. Hindi afirmou que o incidente não está relacionado à tecnologia de privacidade da Zama e que o endereço de depósito não foi sinalizado ou sancionado pelas ferramentas de monitoramento Know-Your-Transaction no momento do depósito de 11 de maio. Como medida de precaução, a Zama pausou seus contratos cUSDC, cUSDT e cWETH aguardando revisão.
ZachXBT, que defendeu a Zama como uma terceira parte inocente, alegou que o autor da ação falseou a relação entre o endereço congelado e o wrapper da Zama durante os procedimentos, e disse que a equipe da Zama parece não ter recebido qualquer aviso prévio antes da Circle executar a lista de bloqueio.
O Problema da Componibilidade
A função de lista negra da Circle está integrada ao contrato inteligente USDC ERC-20: contas autorizadas podem marcar um endereço; uma vez marcado, o endereço não pode enviar nem receber USDC e o saldo existente é bloqueado. O mecanismo funciona perfeitamente para uma carteira de propriedade externa. É indiferente em relação a um contrato inteligente agrupado, onde os ativos dos usuários são misturados com os do depositante alvo.
Essa tensão não é nova. A Circle listou negativamente os endereços sancionados do Tornado Cash em agosto de 2022 após o Departamento do Tesouro dos EUA adicionar o mixer à lista SDN, congelando aproximadamente 75.000 USDC. O congelamento da Zama opera o mesmo mecanismo em uma escala monetária muito maior — e sem uma designação da OFAC por trás disso. Uma ordem judicial em uma litigância civil privada foi suficiente.
Onde os Titulares Estão
O CEO da Circle, Jeremy Allaire, disse em abril que a empresa não congelaria o USDC na ausência de uma ordem judicial, mesmo quando fundos roubados estivessem em jogo. O congelamento da Zama atende a esse critério, mas de forma oposta: uma ordem judicial de um autor privado agora bloqueou um contrato inteiro de privacidade DeFi.
Os titulares de cUSDC não têm um caminho claro para recuperação enquanto o congelamento permanecer. Hindi prometeu um pós-morte e procedimentos de conformidade atualizados após a revisão. A Circle pode reverter a ação, restringi-la ou publicar uma justificativa; até que o faça, o contrato — e os usuários dentro dele — aguardam.