Circle, компанія, що стоїть за другим за розміром стейблкоїном у світі, згідно зі звинуваченнями, не діяла, поки хакер перекачував більше ніж 230 мільйонів доларів США в краденому USDC через свою власну міжланцюгову інфраструктуру. Саме таке звинувачення висунув блокчейн-дослідник ZachXBT, який стверджує, що Circle мала приблизно шість годин на те, щоб втрутитися, але вирішила не робити цього.
Вкрадені кошти походять з експлуатації Drift Protocol 1 квітня — розкрадання на суму від 280 до 285 мільйонів доларів США, яке зараз входить до числа найбільших у історії DeFi. За аналізом ZachXBT, нападник використав Cross-Chain Transfer Protocol (CCTP) від Circle, щоб перевести USDC з Solana на ethereum, розподіливши операції більш ніж на 100 окремих транзакцій. Це не саме приховане виходження.
Що відбулося в Drift Protocol
Сама атака була жорстоко ефективною. Замість того щоб експлуатувати помилку смартконтракту — тип вразливості, який домінує в більшості постмортемів DeFi, — хакер скомпрометував адміністративні дозволи Drift Protocol на операційному рівні. Уявіть це не як підбір замка, а як крадіжку головного ключа від будівлі.
Весь експлойт зайняв приблизно 12 хвилин. Зловмисник використав підписані заздалегідь транзакції, які забезпечувалися постійними nonce, що дозволило їм заздалегідь поставити у чергу виведення коштів і виконати їх швидко одна за одною. Коли хтось помітив проблему, сховище вже було порожнім.
Реакція токена DRIFT була катастрофічною. Він впав на 98% від свого рекордного максимуму у $2,65, торгуючись у діапазоні від $0,041 до $0,06 після цього. Для порівняння, це як спостерігати, як акція з інвестійного класу перетворюється на пенні-сток за час, що знадобиться на обід.
Загальна сума викраденого становила від 280 до 285 мільйонів доларів США, що робить цей інцидент одним із п’яти найбільших експлойтів DeFi, які коли-небудь фіксувалися. Але саме напад не є тим, що найбільше хвилює крипто-спільноту. Це те, що сталося після нього, а точніше — те, чого не сталося.
Шестичасовий вікно Circle
Ось у чому полягає суть USDC, що робить його фундаментально відмінним від децентралізованих стейблкоїнів: у Circle є ключ вимкнення. Компанія може заморозити USDC у будь-якому гаманці, в будь-який час, з будь-якої причини. Це функція, яка існує саме для ситуацій, подібних до цієї.
З моменту запуску USDC, Circle заморозила приблизно 110 мільйонів доларів США у різних гаманцях, зазвичай у відповідь на запити правоохоронних органів або вимоги щодо дотримання санкцій. Компанія неодноразово продемонструвала, що має як технічну можливість, так і бажання діяти, коли це необхідно.
За даними ZachXBT, експлойт Drift Protocol був публічно оголошений і широко обговорювався, поки вкрадені кошти ще пересувалися. Активність моста відбувалася в нормальні робочі години. Команда з відповідності Circle теоретично мала кожну можливість виявити та заморозити транзакції, які проходили через CCTP.
Замість цього більше ніж 230 мільйонів доларів США в крадених USDC перейшли з Solana на ethereum без перешкод. Більше 100 окремих транзакцій. Протягом приблизно шести годин. Circle, суб’єкт, що має єдину повноваження зупинити це, схоже, спостерігав за цим.
Що робить це особливо незручним для Circle, так це час. ZachXBT та інші спостерігачі зазначили, що за кілька днів до експлойту Drift Circle швидко заблокував інші гаманці за обставин, які багато в індустрії вважали сумнівними. Компанія продемонструвала, що може діяти швидко, коли мотивована. Інцидент з Drift свідчить, що мотивація застосовується вибірково.
Чому це має значення далі за одну експлуатацію
USDC — це не якийсь нишевий токен. Лише у лютому 2025 року він обробив $9,6 трильйона на ланцюзі. Він є фундаментальною інфраструктурою для десятків протоколів DeFi, платформ позичання та торгівельних майданчиків. Коли суб’єкт, що керує цією інфраструктурою, не діє під час активного викрадення такого масштабу, наслідки поширюються набагато далі, ніж просто поганий день для користувачів Drift Protocol.
Основна напруга — це проблема, яка пресувала централизовані стейблкоїни з моменту їх створення. Можливість заморожування USDC одночасно є його найбільшим регуляторним перевагою та найбільш спірною функцією. Прихильники стверджують, що це робить USDC безпечнішим, оскільки вкрадені кошти можна відновити. Критики відповідають, що це вводить єдину точку відмови, а ще гірше — єдину точку дискреції.
Інцидент із Drift однозначно виправдовує критиків. Якщо Circle заморожує гаманці за запитом урядів, але не під час одного з найбільших крадіжок в історії DeFi, функція заморожування починає виглядати не як механізм безпеки, а як атрибут для показової відповідності. На англійській: потужність допомагати існує, але бажання її застосовувати, щонайменше, виглядає неоднорідно.
Для інституційних інвесторів, які поступово зацікавлювалися DeFi, це холодний відплеск дійсності. Припущення, що централизовані випускники стейблкоїнів діятимуть як гарант під час криз, що їхній контроль є функцією, а не недоліком, тепер виглядає значно менш надійним. Моделі ризиків, які вважали USDC квазізастрахованим, можуть потребувати перегляду.
Подивіться, Circle публічно не розкривала свої мотиви щодо відмови втручатися. Можливо, існують правові чи процедурні пояснення, які ще не стали відомі. Можливо, внутрішні протоколи вимагають конкретних запитів від правоохоронних органів, перш ніж можна буде вжити заходів, навіть під час очевидних крадіжок. Але вигляд цього жахливий, а в криптовалюті вигляд і довіра функціонально одне й те саме.
Ширша регуляторна дискусія також, ймовірно, зміниться. Законодавці, які працюють над законодавством про стейблкоїни в США та за кордоном, неодмінно посилатимуться на цей інцидент під час обговорення рамок нагляду. Якщо компанія з історією заморозок на $110 мільйонів та реальним доступом до свого протоколу не може чи не хоче зупинити крадіжку $230 мільйонів через свою інфраструктуру, регулятори запитають, чого саме призначена система відповідності.
Також варто стежити за конкурентним аспектом. Альтернативні моделі стейблкоїнів, будь то повністю децентралізовані варіанти, як DAI, чи нові забезпечені дизайн-рішення, можуть набирати популярності, оскільки користувачі та протоколи переоцінюють свій ризик, пов’язаний із централизованими емітентами. Аргумент на користь децентралізації завжди був філософським. Зараз у нього є випадок на $230 мільйонів.
Щодо Drift Protocol конкретно, майбутнє виглядає жахливо. Зниження токена на 98% — це не просто паперові втрати. Це знищує скарбницю протоколу, його здатність компенсувати постраждалих та його здатність привертати розробників чи користувачів у майбутньому. Відновлення після експлойтів такого масштабу — рідкісне явище. Відновлення після експлойтів, де випускник стейблкоїну міг би допомогти, але не зробив цього, — це практично невідома територія.
Основний висновок
Експлуатація Drift Protocol була руйнівною сама по собі. Але очевидна бездіяльність Circle протягом шести годин, поки $230 мільйонів вкраденого USDC проходили через їхній власний бридж-протокол, перетворює цю історію зі звичайного хакерського випадку в DeFi на щось більш фундаментальне. Це змушує весь індустрійний співтовариство стикнутися з незручним питанням: якщо централізовані випускники стейблкоїнів не використовують свої надзвичайні повноваження під час надзвичайних крадіжок, то для чого взагалі ці повноваження?