ZachXBT, Circle'ı $285 Milyonluk Drift Protokolü Saldırısı Sırasında Çalınan USDC'yi Dondurmamakla Suçluyor

Blokzincir araştırmacısı ZachXBT, Circle'ı, 1 Nisan 2026'daki $285 milyonluk Drift Protokolü açığı sırasında kendi zincirler arası altyapısı üzerinden hareket eden çalınan USDC'yi dondurmamakla suçladı. Bu durum, stablecoin ihraççısının dondurma yetkisini ne zaman ve neden kullanmayı seçtiği konusunda önemli soruları gündeme getirdi.

Drift Protokolü saldırısı, 2026'nın en büyük DeFi açığı olarak kayıtlara geçti ve Solana tabanlı sürekli vadeli işlem borsasından 285 milyon dolardan fazla para çekildi. Saldırgan, Circle'ın CCTP'si aracılığıyla yaklaşık 232 milyon dolar değerinde USDC'yi Solana'dan Ethereum'a altı saatten fazla bir süre boyunca 100'den fazla işlemle köprüledi ve bu süre zarfında Circle'dan hiçbir işlem gerçekleşmedi.

ZachXBT'nin daha geniş kapsamlı dosyası, 2022'den bu yana Circle'ın 420 milyon doların üzerinde olduğu iddia edilen uyumsuzluklarını içeren 15 vakayı listeliyor. 1 Nisan'daki Drift saldırısı, güvenlik firması PeckShield tarafından işaretlendi. Saldırgan, manipüle edilmiş bir oracle ve tehlikeye girmiş bir yönetici anahtarı kullanarak, blockchain analitik firması Arkham'a göre yaklaşık 12 dakika içinde Drift'in ana kasasını boşalttı. Drift'in toplam kilitli değeri yaklaşık 550 milyon dolardan bir saat içinde 300 milyon doların altına düştü. DRIFT tokeni %40'tan fazla değer kaybetti. On ek Solana protokolü daha kesinti bildirdi.

Çalınan varlıkların çoğu USDC'ye dönüştürüldükten sonra, saldırgan, Circle'ın Cross-Chain Transfer Protocol'ünü (CCTP) kullanarak, altı saat boyunca 100'den fazla işlemle yaklaşık 232 milyon doları Solana'dan Ethereum'a köprüledi. ZachXBT'nin suçlaması, "Circle, 9 haneli Drift hack'inden saatler boyunca ABD saatlerinde Solana'dan Ethereum'a CCTP üzerinden takas edilen milyonlarca USDC'ye göz yumdu," şeklinde. Eleştiri, zamanlaması göz önüne alındığında daha da keskinleşiyor. Sadece dokuz gün önce, 23 Mart'ta, Circle, mühürlü bir ABD sivil davasının parçası olarak, DFINITY Vakfı'na ait olan da dahil olmak üzere 16 bağlantısız işletme sıcak cüzdanında USDC'yi dondurdu. ZachXBT, bu dondurmayı "zincir üstü soruşturmalarda beş yılda tanık olduğu potansiyel olarak en yetersiz" eylem olarak nitelendirdi.

Bu karşıtlık, meşru işletmelere karşı agresif eylem ve Circle'ın kendi köprüsünden geçen dokuz haneli bir açığın onaylanması sırasında hareketsizlik, merkezileştirilmiş stablecoin yönetiminin pratikte nasıl işlediği konusunda tartışmaları yeniden alevlendirdi. Güvenlik araştırmacısı Specter, saldırganın kasıtlı olarak fonları Tether'in USDT'sine dönüştürmekten kaçındığına ve Circle'ın müdahale etmeyeceğine güvendiğine dikkat çekti. Circle, "Circle, yaptırımlara, kolluk kuvveti emirlerine ve mahkeme emriyle verilen gerekliliklere uyan, düzenlenmiş bir şirkettir. Yasal olarak gerekli olduğunda, hukukun üstünlüğüne uygun ve kullanıcı hakları ve gizliliğinin güçlü bir şekilde korunmasıyla varlıkları dondururuz." şeklinde yanıt verdi. Plume'da genel hukuk müşaviri olan Salman Banei, yetkisiz varlık dondurmanın Circle'ı yasal sorumluluğa maruz bırakabileceği konusunda uyardı. Stablecoin derecelendirme ajansı Bluechip'in CEO'su Ben Levit, durumu "gri bir alan" olarak tanımlayarak, bunun temiz bir hack'ten ziyade bir oracle açığı olduğunu belirtti. Blockchain analitik firması Elliptic, Drift açığından Kuzey Koreli hacker'ların sorumlu olduğuna dair çok sayıda gösterge belirledi.

Kripto hack kayıpları bu olaydan önceki aylarda önemli ölçüde azalmış olsa da, 285 milyon dolarlık Drift hack'i keskin bir tersine dönüşü işaret ediyor ve ortaya çıkan Circle tartışması, özellikle dondurma yetkisi ve ihraççı sorumluluğu etrafında, daha geniş stablecoin düzenleyici çerçevesinin nasıl yazıldığına kalıcı etkiler bırakabilir.