Circle под давлением после того, как $230 миллионов в украденном USDC были разблокированы

Компания Circle, выпускающая стейблкоин, сталкивается с нарастающей критикой со стороны исследователей блокчейна после того, как миллионы долларов в USD Coin (USDC) были украдены и беспрепятственно переведены через ее собственный мост в ходе хакерской атаки на протокол Drift, основанный на Solana. Этот инцидент, произошедший 1 апреля, стал крупнейшим взломом в сфере децентрализованных финансов (DeFi) в 2026 году и резко контрастирует с агрессивным замораживанием активов, которое Circle провела всего за несколько дней до этого в связи с закрытым гражданским делом в США.

Такое несоответствие вновь подняло вопрос о ответственности и несоответствиях централизованных эмитентов стейблкоинов, работающих в рамках разрешительных рынков. По данным блокчейн-исследователя ZachXBT, злоумышленники перевели более $230 миллионов в USDC с Solana на Ethereum через более чем 100 транзакций, используя Протокол межсетевого перевода Circle (CCTP).

Структурное напряжение в криптовалютных рынках

Этот инцидент подчеркивает структурное напряжение на криптовалютных рынках: стейблкоины, такие как USDC, функционируют в рамках разрешительных систем, но при этом сохраняют централизованный контроль. Когда этот контроль применяется непоследовательно, это создает новые риски для пользователей, протоколов и регуляторов, пытающихся понять, где вмешательство будет, а где нет, в условиях кризиса. Трансферы происходили в течение нескольких часов в рабочее время в США, что давало Circle достаточно времени для вмешательства.

Это мнение подтвердили и другие эксперты по безопасности, которые отметили, что злоумышленник удерживал украденный USDC на нескольких кошельках от одного до трех часов, прежде чем перевести средства на Ethereum. Хакер, как оказалось, избегал конвертации средств в USDT, что указывает на расчет, что Circle не применит свои полномочия по черному списку смарт-контрактов. Этот расчет оправдался, поскольку USDT является крупнейшим стейблкоином по рыночной капитализации, а его эмитент известен тем, что блокирует злонамеренных атакующих, использующих его актив для перемещения средств.

Гражданский контраст

Время взлома усилило критику в адрес Circle. 23 марта компания заморозила балансы USDC 16 несвязанных корпоративных горячих кошельков, что привело к сбоям в работе легитимных бирж, казино и платежных процессоров в ответ на гражданский спор. ZachXBT ранее охарактеризовал это действие как «возможно, самое некомпетентное» замораживание, которое он наблюдал за пять лет. Критики теперь задаются основным вопросом: если Circle утверждает, что имеет право замораживать активы для обеспечения соблюдения норм, почему она применяет эту власть активно против легитимных бизнесов, игнорируя подтвержденный кражу девятизначной суммы, проходящую через ее собственную инфраструктуру?

Тем не менее, Santisa, псевдонимный CIO инвестиционной компании Lucidity Cap, высказал противоположное мнение. Он заявил: «Отказ Circle от черного списка на самом деле довольно киберпанковский, независимо от причины. Индустрия, настаивающая на активном черном списке, отдаляет нас от децентрализации — это не обязательно плохо! Просто это компромисс». На сегодняшний день Circle занесла в черный список примерно $117 миллионов на 601 кошельке, согласно данным Dune Analytics, что показывает, что такая возможность существует.

Анатомия взлома Drift

Атака на Drift, ранее являвшийся краеугольным камнем DeFi-экосистемы Solana с более чем $550 миллионов в общей заблокированной стоимости (TVL), была высокоорганизованной операцией, продолжавшейся несколько недель. Согласно послематчевому анализу протокола Drift, злоумышленники скомпрометировали Совет безопасности протокола. 30 марта они использовали механизм, известный как «Durable Nonce», чтобы незаметно получить необходимые одобрения мультиподписей.

Durable nonce — это инструмент, предназначенный для того, чтобы сохранять неподтвержденные транзакции действительными на неопределенный срок для оффлайн-одобрений. Юй Сян, основатель компании по безопасности блокчейна Slowmist, отметил: «Это еще одна встреча с уязвимостью механизма предварительной подписи durable nonce. Эта техника фишинга была распространена как минимум два года. Как только такая подпись будет украдена, злоумышленник может инициировать «легально подписанные» операции в цепочке в более подходящий момент — например, в случае Drift это привело к захвату его прав администратора в цепочке».

1 апреля злоумышленники перенесли административные полномочия, инициализировали фальшивый актив под названием CVT, искусственно завысили его стоимость через манипуляцию оракулом и заняли подложное обеспечение. В кратчайшие сроки они опустошили хранилища JLP Delta Neutral, SOL Super Staking и BTC Super Staking. Данные DefiLlama показывают, что TVL Drift упала ниже $250 миллионов после атаки. Последствия быстро распространились по экосистеме DeFi Solana, учитывая видную роль Drift. Согласно отчетам, как минимум 20 сторонних приложений, которые полагались на хранилища Drift для генерации дохода, подтвердили финансовые потери, включая Prime Numbers Fi, который оценивает убытки более чем в $10 миллионов.

Кто стоит за атакой?

Хотя личность злоумышленников на момент публикации остается неизвестной, Drift заявила в X, что она выявила критическую информацию о вовлеченных в взлом лицах. Тем временем эксперты по безопасности отметили, что сложная методология отмывания денег указывает на знакомого противника — северокорейских атакующих. Блокчейн-интеллектуальная компания Elliptic сообщила, что поведение на цепочке и сетевые индикаторы соответствуют операциям, проводимым Корейской Народной Демократической Республикой (КНДР). Другая компания по безопасности блокчейна, Diverg, добавила: «Мы можем подтвердить вместе с TRM Labs и Elliptic, что за атакой на Drift стоит группа Лазаря из Северной Кореи (TraderTraitor). Эта же группа стояла за хакером на Bybit на сумму $1,5 миллиарда и атакой на Ronin на сумму $625 миллионов». Если это подтвердится, взлом Drift станет восемнадцатой кражей криптовалюты, связанной с КНДР, в этом году, что увеличит незаконный доход режима в 2026 году до более чем $300 миллионов. Это происходит на фоне эскалации атак, спонсируемых государством, на криптоинфраструктуру, включая недавнюю компрометацию цепочки поставок программного обеспечения, приписываемую Google северокорейскому угрозе UNC1069.

Заключение

Инцидент с взломом Drift и последующие действия Circle поднимают важные вопросы о безопасности и ответственности в сфере децентрализованных финансов. Сложные механизмы управления и контроля, которые существуют в рамках централизованных стейблкоинов, могут создавать риски как для пользователей, так и для самой инфраструктуры. Важно, чтобы компании, работающие в этой области, пересмотрели свои подходы к управлению активами и реагированию на инциденты, чтобы обеспечить большую прозрачность и защиту для всех участников рынка. В то время как криптовалютная экосистема продолжает развиваться, необходимы четкие правила и стандарты, которые помогут предотвратить подобные инциденты в будущем.