據區塊鏈調查員 ZachXBT 指控,全球第二大穩定幣的背後公司 Circle 在一名駭客透過其自身的跨鏈基礎設施轉移超過 2.3 億美元被盜的 USDC 時,卻選擇坐視不理。他稱 Circle 約有六小時的時間可以介入,但最終沒有採取行動。
被盜資金源於4月1日Drift Protocol的攻擊事件,這起盜竊案涉及2.8億至2.85億美元,現已成為DeFi歷史上最大的攻擊事件之一。根據ZachXBT的分析,攻擊者利用Circle的跨鏈轉帳協議(CCTP),將USDC從Solana轉至以太坊,分佈在超過100筆獨立交易中。這並非一種隱蔽的撤資方式。
Drift Protocol 發生了什麼事
這次攻擊本身極其高效。駭客並未利用智能合約的漏洞——這類漏洞通常主導大多數DeFi事後分析——而是入侵了Drift Protocol在運營層面的管理權限。這不是像開鎖那樣,而更像偷走大樓管理員的萬能鑰匙。
整個攻擊過程約耗時 12 分鐘。攻擊者利用持久非一次性數字(durable nonces)簽署的交易,提前排隊提款並快速依次發出。當任何人察覺時,金庫已空無一物。
DRIFT 代幣的反應極為慘烈,從其歷史高點 $2.65 下跌了 98%,隨後交易區間為 $0.041 至 $0.06。作為參考,這就像在吃午餐的時間內,看到一隻股票從藍籌股淪為仙股。
總共盜取的資金介於2.8億美元至2.85億美元之間,使此次事件成為有記錄以來最大的五起DeFi攻擊之一。但讓加密社區最為憤怒的,並非攻擊本身,而是接下來發生(或更準確地說,未發生)的事情。
Circle 的六小時窗口
關於 USDC 的一點在於,它與去中心化穩定幣有根本差異:Circle 擁有終止開關。該公司可隨時以任何理由凍結任何錢包中的 USDC。此功能正是為此類情況而設。
自 USDC 推出以來,Circle 已在多個錢包中凍結了約 $1.1 億,通常是在回應執法機構的要求或遵守制裁規定時採取此類行動。該公司一再表明,它既具備技術能力,也願意在必要時採取行動。
根據 ZachXBT 的說法,Drift Protocol 的漏洞在盜取資金仍在轉移時已公開宣布並廣泛討論。橋接活動發生在正常營業時間內。理論上,Circle 的合規團隊有充分機會在資金透過 CCTP 流動時標記並凍結這些交易。
相反,超過 $230 億美元的被盜 USDC 在無干預的情況下從 Solana 轉至 以太坊,共計超過 100 筆獨立交易,歷時約六小時。擁有唯一停止權限的 Circle 似乎目睹了這一切發生。
對於 Circle 而言,特別尷尬的是時機。ZachXBT 與其他觀察者指出,在 Drift 攻擊發生前幾天,Circle 已迅速將其他錢包列入黑名單,而該舉動被業界許多人士視為有疑問。這表明公司在有動機時能夠迅速行動,而 Drift 事件則暗示其動機是選擇性應用的。
為何這不僅僅關係到一次漏洞
USDC 不是某種小眾代幣。僅在 2025 年 2 月,其鏈上交易量就達到了 9.6 兆美元。它作為基礎設施,廣泛應用於數十個 DeFi 協議、借貸平台和交易場所。當控制該基礎設施的實體在如此大規模的盜竊事件中未能採取行動時,其影響遠遠超出了 Drift Protocol 用戶單日的損失。
核心張力自中心化穩定幣誕生以來便一直困擾著它們。USDC 的凍結功能既是其最大的監管賣點,也是最具爭議的特性。支持者認為,這使得 USDC 更安全,因為被盜資金可以被追回。批評者則反駁稱,這引入了單一故障點,更糟的是,單一的裁量權點。
Drift 事件完全落入批評者的陣營。如果 Circle 在政府要求下凍結錢包,卻不在 DeFi 歷史上最大盜竊事件之一發生時採取行動,那麼凍結功能看起來就不再像是一種安全機制,而更像是一種合規表演的道具。用英文來說:擁有幫助的力量,但願意動用這股力量的意願,至多也只是不一致。
對於一直對 DeFi 感興趣的機構投資者來說,這無疑是一盆冷水。過去認為中心化穩定幣發行方在危機時會擔任後盾,其控制權是一種優勢而非缺陷,如今看來已顯得不可靠。將 USDC 視為類似保險資產的風險模型,可能需要重新審視。
請看,Circle 尚未公開說明其不介入的原因,可能尚有未浮現的法律或程序性解釋。也許內部協議要求在採取行動前,必須收到特定執法機構的請求,即使是在明顯的盜竊情況下也是如此。但這項舉措的觀感極為糟糕,而在加密貨幣領域中,觀感與信心本質上是相同的。
更廣泛的監管討論也可能隨之轉變。正在美國及海外制定穩定幣立法的立法者,在討論監管框架時,無可避免會引用此事件。如果一家擁有 1.1 億美元歷史凍結記錄且能實時監控自身協議的公司,仍無法或不願阻止 2.3 億美元透過其基礎設施被盜,監管機構將質疑合規體系的設計目標究竟是什麼。
此外,也有一個值得關注的競爭角度。替代性穩定幣模型,無論是像 DAI 這樣的完全去中心化選項,還是更新的抵押設計,都可能在用戶和協議重新評估其對中心化發行方風險的敞口時獲得廣泛採用。去中心化的論點一直以來都是哲學性的,而現在它有了一个 2.3 億美元的案例研究。
針對 Drift Protocol 而言,未來的前景十分黯淡。98% 的代幣貶值不僅代表紙面損失,更徹底摧毀了協議的金庫、賠償受害者的能力,以及未來吸引開發者或用戶的潛力。如此規模的漏洞攻擊後恢復極為罕見,而當穩定幣發行方本可提供協助卻未行動的情況下,更是無前例可循。
總結
Drift 協議的攻擊本身已極具破壞性。但在價值 2.3 億美元的被盜 USDC 透過其自身橋接協議轉移的六小時內,Circle 似乎毫無作為,這使得這起事件從一宗標準的 DeFi 黑客事件,轉變為更根本的問題。它迫使整個行業面對一個令人不安的疑問:如果中心化穩定幣發行方在如此特殊的盜竊事件中都不願動用其非凡權力,那麼這些權力究竟有何意義?