Onchain-onderzoeker ZachXBT beschuldigde Circle ervan niet te hebben ingegrepen terwijl miljoenen aan gestolen USDC zich vrij konden verplaatsen via zijn eigen cross-chain bridge tijdens de $285 miljoen Drift Protocol-exploit.
Deze kritiek kwam na de aanval op 1 april op de Solana-gebaseerde gedecentraliseerde exchange, die nu de grootste DeFi-exploit van 2026 is tot nu toe.
Circle krijgt kritiek wegens CCTP-passiviteit
Drift Protocol, een perpetual futures-platform op Solana (SOL), raakte op 1 april een enorme hoeveelheid tegoeden kwijt. Securitybedrijf PeckShield en blockchain-analyseplatform Arkham Intelligence signaleerden ongeveer $285 miljoen aan uitgaande transacties vanuit de belangrijkste vault van Drift naar wallets beheerd door de aanvaller.
De aanvaller verplaatste de gestolen assets, vooral in USDC, via meerdere wallets voordat ze werden overgezet van Solana naar Ethereum met Circle’s Cross-Chain Transfer Protocol (CCTP).
ZachXBT wees erop dat deze transfers plaatsvonden tijdens Amerikaanse kantooruren, zonder enige interventie.
Circle sliep terwijl vele miljoenen USDC via de CCTP van Solana naar Ethereum werden overgezet, urenlang, na de Drift-hack van negen cijfers, en dat tijdens Amerikaanse werktijden,” zei de blockchain-onderzoeker.
Security-onderzoeker Specter deelde deze zorgen. Hij merkte op dat de aanvaller USDC tot wel 1 tot 3 uur in de wallets hield voordat er gewisseld werd. Bovendien werd tijdens het brugproces bewust niet omgezet naar Tether (USDT), wat erop wijst dat de hacker er zeker van was dat Circle de fondsen niet zou bevriezen.
Een patroon van tegenstrijdige reacties
De timing zorgde voor extra frustratie. Enkele dagen vóór de Drift-exploit bevriest Circle op 23 maart het USDC-saldo van 16 niet-gerelateerde hot wallets van bedrijven, als onderdeel van een besloten Amerikaanse civiele zaak.
Deze actie zorgde voor problemen bij exchanges, casino’s en betalingsverwerkers.
ZachXBT noemde deze bevriezing eerder misschien wel de meest incompetente die hij in meer dan vijf jaar had gezien. Volgens hem, gebaseerd op on-chain analyse, voerden de wallets legitieme activiteiten uit.
Circle maakte later op 26 maart één wallet weer bruikbaar, die gelinkt was aan Goated.com, maar de meeste wallets bleven geblokkeerd.
Het verschil is duidelijk. Circle trad streng op bij een civiele zaak die legitieme bedrijven trof, maar tijdens een bewezen diefstal van honderden miljoenen werd er niets gedaan om gestolen gelden via het eigen systeem te bevriezen.
ZachXBT koppelde dit gedrag ook aan Circle’s voorgestelde optionele privacy-functies voor de komende Arc-blockchain. Hij zei dat deze functies de verantwoordelijkheid rondom compliance verder kunnen verkleinen, omdat daardoor minder mensen transacties kunnen inzien.
Wat komt er hierna voor Circle en Drift
Aan de Ethereum-kant werden de gestolen assets geruild voor ongeveer 129.000 ETH. De Total Value Locked (TVL) van Drift kelderde van ongeveer $550 miljoen naar $247 miljoen, en de koers van de eigen DRIFT-token daalde met bijna 28%.
Circle heeft publiekelijk niet op de kritiek gereageerd. Dit incident heeft opnieuw discussie aangewakkerd of centrale stablecoin-uitgevers hun bevriezingsbevoegdheid wel kunnen verantwoorden als ze dit zo willekeurig toepassen.
