ZachXBT发布的一份链上报告引发了对Circle合规控制措施有效性的质疑。该调查员指出,自2022年以来涉嫌与非法资金流动相关的漏洞金额超过4.2亿美元。
这些于4月3日公布的调查结果汇总了多起案例,其中与黑客攻击或非法活动相关的USDC要么未被冻结,要么在严重延迟后才被冻结。
监管机构尚未独立核实这些说法,截至发稿时Circle尚未对报告公开回应。
Drift协议漏洞事件凸显响应时效问题
报告以近期Drift Protocol遭受的2.8亿美元漏洞攻击作为关键例证。据ZachXBT称,攻击者使用Circle的跨链传输协议(CCTP)在数小时内从Solana桥接超过2.32亿美元的USDC至以太坊。
报告声称,尽管该活动规模庞大且持续数小时,在此期间没有任何USDC被冻结。据区块链分析公司Elliptic报告,该攻击者已被关联到朝鲜黑客组织。
不过此 attribution 尚未得到官方证实。
延迟冻结或未冻结的模式
除Drift事件外,报告还重点列举了若干历史案例:
- 2025年2.23亿美元Cetus Protocol漏洞事件,USDC在初始请求数周后才被冻结
- 2022年1.1亿美元Mango Markets漏洞事件,尽管已知与攻击者关联但资金据称未被冻结
- 1.9亿美元Nomad Bridge黑客事件,USDC在事件早期阶段始终留存于攻击者钱包
报告称,在多起案例中,包括Tether在内的其他稳定币发行方对相同地址关联资金的冻结行动更为迅速。
合规工具存在——但执法力度遭质疑
Circle将USDC作为具备内置合规功能的受监管稳定币进行推广,包括冻结或拉黑与非法活动关联地址的能力。
其服务条款规定公司可"自行决定"限制资金访问,赋予其在识别可疑活动时采取行动的权力。
报告并未质疑这些控制措施的存在,但对其一贯执行力度提出疑问,尤其是在资金快速跨链转移或兑换的急速漏洞利用场景中。
对稳定币监管的广泛影响
这些指控出现之际,稳定币正日益被定位为核心金融基础设施,美国、加拿大和欧洲的监管机构正在推进管理其使用的框架。
若得到证实,这些发现可能会给发行方增加压力,要求其不仅证明合规工具的存在,还要证明能够实时有效部署这些工具。
与此同时,报告也凸显了在碎片化的跨链环境中监控和应对非法活动的操作挑战。
最终总结
- ZachXBT新报告指控USDC存在超4.2亿美元合规漏洞,但相关说法尚未得到核实
- 这些发现引发更广泛质疑:稳定币发行方如何在快速变化的漏洞利用场景中有效执行控制措施
