L’enquêteur on-chain ZachXBT a accusé Circle de ne pas avoir réagi alors que des millions de dollars en USDC volés circulaient librement par le biais de son propre bridge cross-chain lors de l’exploit de 285 millions de dollars du Drift Protocol.
Ces critiques font suite à l’attaque du 1er avril contre la plateforme d’échange décentralisée basée sur Solana, qui reste à ce jour le plus grand exploit DeFi de 2026.
Circle critiqué pour son inaction sur le CCTP
Drift Protocol, une plateforme de contrats perpétuels sur Solana (SOL), a subi une vidange massive de son coffre-fort le 1er avril. La société de sécurité PeckShield et la plateforme d’analyses blockchain Arkham Intelligence ont signalé environ 285 millions de dollars sortis du principal coffre-fort de Drift vers des wallets contrôlés par les attaquants.
L’attaquant a déplacé les actifs volés, principalement de l’USDC, entre plusieurs wallets avant de les transférer de Solana vers Ethereum par le biais du Cross-Chain Transfer Protocol (CCTP) de Circle.
ZachXBT a souligné que ces transferts ont eu lieu pendant les heures ouvrées américaines, sans aucune intervention.
« Circle dormait pendant que de très nombreux millions d’USDC étaient échangés par CCTP de Solana vers Ethereum durant des heures à la suite du hack à neuf chiffres de Drift, en pleine journée américaine », a déclaré l’enquêteur blockchain peut-on lire dans le post.
Le chercheur en sécurité Specter a partagé ces inquiétudes. Il a noté que l’attaquant a conservé l’USDC sur des wallets entre 1 et 3 heures avant de les échanger, tout en évitant délibérément de convertir en Tether (USDT) lors du bridge, signe d’une confiance que Circle n’interviendrait pas pour geler les fonds.
Un schéma de réponses contradictoires
Le timing a accentué la frustration. Quelques jours avant l’exploit de Drift, Circle avait gelé les soldes USDC de 16 hot wallets professionnels sans lien avec l’affaire le 23 mars, dans le cadre d’un dossier civil américain sous scellé.
Cette initiative a perturbé l’activité d’exchanges, de casinos et de prestataires de paiement.
ZachXBT avait déjà qualifié ce gel d’éventuellement le plus incompétent qu’il ait vu en plus de cinq ans. Selon lui, une analyse on-chain indiquait que les wallets menaient des activités légitimes.
Circle a ensuite débloqué un wallet associé à Goated.com le 26 mars, mais la plupart sont restés gelés.
Le contraste est frappant. Circle a agi avec vigueur pour une affaire civile concernant des entreprises opérant légalement. Pourtant, lors d’un exploit confirmé à neuf chiffres, il n’a pris aucune mesure pour geler les fonds volés transitant sur sa propre infrastructure.
ZachXBT a également relié ce comportement aux futures fonctionnalités optionnelles de confidentialité proposées par Circle sur sa blockchain Arc à venir. Selon lui, ces options pourraient réduire encore davantage l’obligation de transparence en limitant l’accès à la visualisation des transactions.
Quelles sont les prochaines étapes pour Circle et Drift
Côté Ethereum, les actifs volés ont été échangés contre environ 129 000 ETH. La valeur totale verrouillée (TVL) de Drift est passée d’environ 550 millions à 247 millions de dollars, et son token natif DRIFT a chuté de près de 28 %.
Circle n’a pas répondu publiquement à ces critiques. Cet incident relance le débat sur la légitimité des émetteurs centralisés de stablecoins à user de leur pouvoir de gel des fonds, surtout lorsque cette autorité est appliquée de manière incohérente.
