Издатель стейблкоина сталкивается с растущим вниманием со стороны исследователей блокчейна после того, как миллионы USD Coin (USDC) были украдены и прошли без препятствий через его проприетарный мост во время эксплуатации протокола Drift на сумму 285 миллионов долларов.
Бездействие во время атаки 1 апреля, которая теперь является крупнейшим хаком децентрализованного финансирования (DeFi) в 2026 году, резко контрастирует с агрессивным замораживанием активов Circle, связанным с закрытым гражданским делом всего несколько дней назад.
Этот контраст возобновил дебаты о ответственности и несоответствиях централизованных издателей стейблкоинов, работающих на безразрешительных рынках.
Согласно расследованию на основе блокчейна, атакующие переместили более 230 миллионов долларов USDC с Solana на Ethereum более чем за 100 транзакций с использованием протокола Circle Cross-Chain Transfer Protocol (CCTP).
Отслеживание транзакций эксплуатации Drift (Источник: Elliptic) Почему это важно:
Эпизод подчеркивает структурное напряжение на рынках криптовалют: стейблкоины, такие как USDC, работают внутри безразрешительных систем, но сохраняют централизованный контроль. Когда этот контроль применяется несогласованно, это создает новые риски для пользователей, протоколов и регулирующих органов, пытающихся понять, где вмешательство будет или не будет происходить во время кризиса.
Переводы произошли в течение нескольких часов в течение рабочего дня в США, давая издателю, базирующемуся в Нью-Йорке, достаточно времени для вмешательства.
Эта точка зрения была подтверждена другими экспертами по безопасности, которые отметили, что атакующий держал украденный USDC на нескольких кошельках в течение одного до трех часов, прежде чем перевести его на Ethereum.
Хакер заметно избегал конвертации средств в USDT, что говорит о рассчитанном ставке на то, что Circle не развернет свою власть по черному списку смарт-контрактов.
Эта ставка оправдалась, поскольку это крупнейший стейблкоин по рыночной капитализации, и его издатель использует свои активы для перевода средств.
Гражданский контраст Сроки эксплуатации усилили негативную реакцию. 23 марта Circle заморозил балансы USDC 16 не связанных между собой корпоративных горячих кошельков и нарушил законные обмены, казино и процессоры платежей в ответ на гражданский спор.
ZachXBT ранее назвал это действие «потенциально самым некомпетентным» замораживанием, которое он видел за пять лет.
Критики теперь задают фундаментальный вопрос: если Circle заявляет о своей власти замораживать активы для обеспечения соблюдения, почему он применяет эту власть агрессивно против законных бизнесов, игнорируя подтвержденную кражу девятизначной суммы, проходящую через свою собственную инфраструктуру?
Однако Santisa, псевдонимный финансовый директор инвестиционной фирмы Lucidity Cap, утверждал обратное. Он:
“Отказ Circle от включения в черный список на самом деле довольно цифровой, независимо от причины. Промышленность, выступающая за активное включение в черный список, отдаляет нас еще дальше от децентрализации — не обязательно плохой вещи! Просто компромисс.” На данный момент Circle включил в черный список примерно 117 миллионов долларов по 601 кошельку, согласно Dune Analytics, что показывает, что такая возможность существует.
Черный список USDC Circle (Источник: Dune Analytics) Анатомия эксплуатации Drift Атака на Drift, ранее крупнейший протокол с более чем 550 миллионами долларов в общей заблокированной стоимости (TVL), была высоко сложной, многонедельной операцией.
Согласно заявлению протокола Drift, атакующие скомпрометировали Совет безопасности протокола.
30 марта они воспользовались механизмом, известным как «Прочный Nonce», чтобы тихо получить необходимые мультиподписи.
Прочный Nonce — это инструмент, предназначенный для сохранения действительности неподтвержденных транзакций неограниченно долго для автономных одобрений. Yu Xian, основатель фирмы по безопасности блокчейна Slowmist,:
“Еще одна встреча с механизмом эксплуатации прочного офлайн-предварительного подписания. Этот метод фишинга был распространен не менее 2 лет. Как только такая подпись была получена путем фишинга, атакующий может инициировать «законно подписанные» операции на цепочке в будущем удобный момент — например, в сценарии Drift, это привело к захвату административных привилегий на цепочке.” 1 апреля атакующие сместили административную власть, инициализировали фальшивый актив под названием CVT, искусственно завысили его стоимость путем манипуляции оракулом и взяли кредит под ложное залог.
В короткий срок они опустошили хранилища JLP Delta Neutral, SOL Super Staking и BTC Super Staking. Данные DeFiLlama показывают, что TVL Drift рухнул до менее 250 миллионов долларов после атаки.
Последствия быстро распространились по всей децентрализованной финансовой системе, учитывая видную роль Drift.
Согласно сообщениям, не менее 20 сторонних приложений, которые полагались на хранилища Drift для получения дохода, подтвердили финансовое воздействие, включая Prime Numbers Fi, который оценивает убытки в размере более 10 миллионов долларов.
Кто стоит за атакой?
Хотя личность атакующих остается неизвестной на момент публикации, Drift заявил в X, что он определил важную информацию о лицах, участвовавших в эксплуатации.
Тем временем эксперты по безопасности отметили, что сложный метод отмывания средств указывает на знакомого противника.
Фирма по интеллекту блокчейна Elliptic заявила, что поведение на цепочке и сетевые индикаторы соответствуют операциям, проводимым Демократической Народной Республикой Корея (ДНРК).
Другая фирма по безопасности блокчейна, Diverg, далее:
“Мы можем подтвердить вместе с TRM Labs и Elliptic, что группа Lazarus из Северной Кореи (TraderTraitor) [стала за атакой Drift]. [Та же] единица [была] за хаком Bybit на 1,5 миллиарда долларов [и] атакой Ronin на 625 миллионов долларов.” Если это подтвердится, эксплуатация Drift станет восемнадцатым крипто-взломом, связанным с ДНРК, в этом году, что увеличит нелегальную добычу режима в 2026 году до более 300 миллионов долларов.
Это происходит на фоне эскалации, включая недавнюю компрометацию цепочки поставок программного обеспечения, приписываемую Google северокорейскому актору угрозы UNC1069.
Эта публикация впервые появилась на.
По материалам CryptoSlate