链上调查员ZachXBT近日发布详细调查报告,直指USDC发行商Circle在合规执行上存在严重漏洞:自2022年以来,Circle在至少15起涉及超4.2亿美元非法USDC流动的案件中未能及时冻结或黑名单相关钱包,而却在2026年3月的一场民事案件中误封了16个合法业务钱包。
关键事件:4.2亿黑钱自由流动
ZachXBT在X平台发布的题为“Welcome to the Circle USDC files”的帖子中,详细列出了具体黑客攻击、欺诈及朝鲜关联盗窃案,其中Circle拥有技术能力和合同授权却未采取行动。他提供了链上地址、交易时间线以及与执法机构、受害者和私营安全公司的通信记录。
最突出的案例是2026年4月1日的Drift Protocol漏洞攻击(由Elliptic归因于朝鲜Lazarus Group)。攻击者利用Circle自己的跨链传输协议(CCTP)在6小时内通过100多笔交易从Solana桥接超过2.32亿USDC至以太坊,但正值美国工作时间,Circle未作任何冻结。
2026年1月25日的Swapnet漏洞被盗1600万美元,其中300万USDC在两天内可自由访问,执法机构和私人调查员提交的临时冻结请求被Circle拒绝,最终资金在法院令状下达前被兑换。
2025年5月22日的Cetus Protocol黑客攻击造成2.23亿美元损失,攻击者通过Circle基础设施在90分钟内桥接6100万USDC,Circle一个月后才将其列入黑名单,此时资金早已转换为ETH。
此外,Mango Markets漏洞(2022年10月,5750万美元)、Nomad Bridge黑客(2022年8月,4500万USDC在30-45分钟内可冻结)等案例中,Circle均未采取行动。ZachXBT还指出,Circle比Tether、Paxos等其他稳定币发行商晚4.5个月冻结2024年4月报告中标记的Lazarus Group关联地址。
误伤事件:16个合法钱包被冻
2026年3月23日左右,Circle在纽约一起密封民事案件(编号约26-cv-2327)中冻结了16个不相关的业务钱包,包括加密货币交易所、在线赌场、外汇经纪商、支付处理商以及DFINITY基金会操作的ckETH Minter智能合约(连接互联网计算机协议与以太坊)。ZachXBT称这是他五年多调查中见过的最无能冻结,表示基本的链上分析就能发现这些钱包是活跃运营基础设施,彼此及与案件无任何明显关联。
截至报告时,至少5个钱包已被解冻,包括DFINITY的合约和Goated.com持有约13.1万USDC的钱包。更多解冻预计将发生。
Circle立场与争议
Circle官方通过发言人声明回应称,公司仅在法律要求时冻结资产,如制裁指定、执法令或法院命令。他们认为未经法律授权的事先冻结会使Circle面临责任并侵犯用户权利。其服务条款允许酌情行动,但实践中优先遵循正式法律程序。
ZachXBT承认Circle产品质量优秀,他本人也持有USDC,但批评焦点在于Circle的合规优先级是否与更广泛的加密生态系统因延迟或拒绝冻结而遭受的损失相匹配。这些案例共同提出了一个核心问题:一家总部位于纽约的美国监管稳定币发行商,在权衡法律谨慎与通过其基础设施流动的非法活动造成的实际损失时,应如何抉择。

