Belangrijkste punten:
- Onchain-onderzoeker ZachXBT identificeerde 15 gevallen met in totaal meer dan $420 miljoen aan illegale USDC-stromen die Circle sinds 2022 niet tijdig heeft bevroren.
- Bij de Drift Protocol-exploit werden 232 miljoen USDC via Circle's eigen CCTP overgebracht gedurende 6 uur zonder bevriezing tijdens Amerikaanse kantooruren.
- Circle bevroor 16 legitieme zakelijke wallets in een civiele zaak in maart 2026, waaronder het ckETH Minter-contract van de DFINITY Foundation, waarvan er 5 later zijn ontdooid.
Heeft Circle verzuimd gestolen USDC te bevriezen? ZachXBT zegt ja, met bewijs
De thread, getiteld "Welcome to the Circle USDC files," werd gepost op X en beschreef specifieke hacks, fraudes en aan Noord-Korea gekoppelde diefstallen waarbij Circle de technische mogelijkheid en contractuele autoriteit had om USDC-wallets te bevriezen of op een zwarte lijst te zetten, maar niet tijdig of helemaal niet handelde. ZachXBT citeerde onchain-adressen, transactietijdlijnen en communicatie met wetshandhaving, slachtoffers en beveiligingsbedrijven uit de particuliere sector.
Onder de gevallen markeerde ZachXBT de Drift Protocol-exploit van 1 april 2026, toegeschreven aan Noord-Korea's Lazarus Group door blockchain-analysebedrijf Elliptic, als een opvallend voorbeeld. Aanvallers hebben meer dan 232 miljoen USDC van Solana naar Ethereum overgebracht met behulp van Circle's eigen Cross-Chain Transfer Protocol in meer dan 100 transacties gedurende zes uur tijdens Amerikaanse kantooruren. Circle heeft niet bevroren.
ZachXBT's bericht benadrukt de Swapnet-exploit van 25 januari 2026, waarbij $16 miljoen werd gestolen, met 3 miljoen USDC die twee dagen toegankelijk bleef terwijl wetshandhaving en particuliere onderzoekers tijdelijke bevriezingsverzoeken indienden die Circle weigerde. De fondsen werden omgewisseld voordat een gerechtelijk bevel kon worden verkregen.
Bij de Cetus Protocol-hack van 22 mei 2025 namen aanvallers $223 miljoen en hebben 61 miljoen USDC via Circle's infrastructuur overgebracht in 90 minuten. Circle plaatste de fondsen een maand later op de zwarte lijst, nadat ze al waren omgezet in Ether.
ZachXBT wees ook op de Mango Markets-exploit van oktober 2022, waarbij $57,5 miljoen via een Circle-stortingsadres werd geleid en nooit onchain werd bevroren. De exploiter werd later aangeklaagd door de U.S. Securities and Exchange Commission (SEC). Bij de Nomad Bridge-hack van augustus 2022 was ongeveer $45 miljoen USDC 30 tot 45 minuten bevriesbaar na een inbreuk van $190 miljoen. Hij zegt dat Circle niet handelde.
De onderzoeker merkte op dat Circle 4,5 maanden langer duurde dan Tether, Paxos en andere stablecoin-uitgevers om aan Lazarus Group gekoppelde adressen te bevriezen die waren gemarkeerd in een rapport van april 2024. Hij documenteerde ook vertraagde reacties met betrekking tot Garantex, de gesanctioneerde Russische exchange, waar meer dan 200.000 USDC onaangeroerd bleef terwijl Tether $22 miljoen bevroor in een parallelle actie.
Circle's officiële standpunt, geleverd via verklaringen van de woordvoerder aan de media, stelt dat het bedrijf activa alleen bevriest wanneer dit wettelijk vereist is, inclusief als reactie op sanctieaanduidingen, bevelen van wetshandhaving of gerechtelijke mandaten. Het bedrijf zegt dat preventieve bevriezen zonder wettelijke toestemming Circle blootstellen aan aansprakelijkheid en inbreuk maken op gebruikersrechten. De servicevoorwaarden staan discretionaire actie toe, maar de praktijk van het bedrijf geeft prioriteit aan formele juridische processen.
ZachXBT erkende dat Circle kwaliteitsproducten bouwt en zei dat hij persoonlijk USDC houdt. Zijn kritiek richt zich op de vraag of Circle's compliance-prioriteiten overeenkomen met de verliezen die het bredere crypto-ecosysteem absorbeert wanneer bevriezen worden vertraagd of geweigerd.
Legitieme operaties bevroren
Een afzonderlijk incident versterkte de kritiek. Op of rond 23 maart 2026 bevroor Circle USDC-saldi in 16 niet-gerelateerde zakelijke wallets die waren gekoppeld aan een verzegelde Amerikaanse civiele zaak in New York, geïdentificeerd als ongeveer zaak 26-cv-2327. De wallets behoorden toe aan crypto-exchanges, online casino's, forexmakelaars, betalingsverwerkers en het ckETH Minter smart contract dat wordt beheerd door de DFINITY Foundation, dat het Internet Computer Protocol met Ethereum verbindt.
ZachXBT noemde het mogelijk de meest incompetente bevriezing die hij in meer dan vijf jaar onderzoek had gezien. Hij zei dat basisanalyse onchain zou hebben aangetoond dat de wallets actieve operationele infrastructuur waren zonder duidelijke verbindingen met elkaar of met de onderliggende civiele zaak.
Ten minste vijf van de 16 wallets werden later ontdooid, waaronder het contract van DFINITY en de wallet van Goated.com met ongeveer $131.000 USDC. Meer terugdraaiacties werden verwacht op het moment van rapportage. Circle gaf geen gedetailleerde publieke weerlegging van de volledige thread op 4 april 2026.
De gevallen roepen gezamenlijk directe vragen op over hoe een in de VS gereguleerde stablecoin-uitgever met hoofdkantoor in New York juridische voorzichtigheid afweegt tegen verliezen in de echte wereld door illegale activiteiten die zijn infrastructuur helpt verplaatsen.
Bron: https://news.bitcoin.com/usdc-freeze-controversy-zachxbt-says-circle-froze-16-legitimate-wallets-missed-real-hacks/
