‘The Circle USDC Files’: ZachXBT encontra $420M In transações suspeitas, supervisão fraca

O investigador on-chain ZachXBT publicou um novo relatório, intitulado “The Circle USDC Files”, alegando mais de 420 milhões de dólares em falhas de conformidade associadas à stablecoin USDC da empresa desde 2022

A análise, divulgada na plataforma de redes sociais X na sexta-feira, descreve vários exploits de finanças descentralizadas (DeFi) de alto perfil nos quais a Circle terá alegadamente falhado em utilizar as suas capacidades de congelamento e de lista negra on-chain para travar o fluxo de fundos roubados.

Alegada inação por parte da Circle

O contrato de token da Circle inclui uma função explícita de freeze/blacklist, e os termos de serviço da empresa reservam o direito de restringir o acesso a atores ilícitos suspeitos “no seu único critério”.

No entanto, o relatório de ZachXBT afirma que, em muitos dos roubos e ataques amplamente divulgados, o emissor ou atrasou a ação ou não congelou os fundos de todo, permitindo que os atacantes movessem grandes quantias entre blockchains e as convertessem noutros ativos.

O relatório começa com o exploit do Drift Protocol a 1 de abril de 2026, em que o atacante drenou cerca de 280 milhões de dólares. De acordo com ZachXBT, o ladrão usou o Circle Cross‑Chain Transfer Protocol (CCTP) para fazer a ponte de mais de 232 milhões de USDC de Solana (SOL) para Ethereum (ETH) em mais de 100 transações.

O incidente teve efeitos em cadeia por todo o ecossistema de Solana, afetando indiretamente mais de 10 projetos DeFi. Apesar de os fundos terem passado pela ponte nativa da Circle durante horas, o relatório diz que nenhum USDC foi congelado durante a lavagem.

ZachXBT detalha também um ataque a 25 de janeiro de 2026 à SwapNet, que resultou no roubo de 16 milhões de dólares. Cerca de 3 milhões de USDC permaneceram no endereço do explorador durante dois dias. Tanto a aplicação da lei como analistas do setor privado terão apresentado pedidos temporários de congelamento à Circle para esse endereço, mas a Circle não agiu.

Perdas de nove dígitos em hacks de cripto

Entre vários outros casos citados no relatório, ZachXBT aponta também para padrões mais amplos e de longa duração. Em abril de 2024, publicou uma investigação separada sobre a lavagem do Lazarus Group, que rastreou fundos de mais de duas dezenas de hacks que foram convertidos em moeda fiduciária

As autoridades de aplicação da lei solicitaram congelamentos a quatro emissores de stablecoins — Circle, Tether, Paxos e Techteryx — para dois endereços associados a essa investigação. O relatório afirma que os outros três emissores agiram rapidamente, enquanto a Circle demorou aproximadamente mais 4,5 meses para congelar os mesmos endereços.

No seu conjunto, ZachXBT diz que estes casos — muitos deles públicos e de grande valor — somam perdas de nove dígitos para o ecossistema cripto causadas por inação repetida ao longo de um período de vários anos

Ele sublinha que o valor de 420 milhões de dólares ou mais abrange apenas os principais incidentes públicos e que o total real poderá ser substancialmente mais elevado. A alegação global é que a Circle possui as ferramentas contratuais e técnicas para intervir, mas que não as utilizou de forma consistente nem atempada, com danos concretos para as vítimas e para a comunidade mais alargada.

“Eles têm todas as ferramentas e recursos disponíveis para fazer melhor. Simplesmente não têm feito”, escreve, encerrando o relatório com uma pergunta incisiva: quem, exatamente, é que a Circle está a servir?

Imagem em destaque da OpenArt, gráfico de TradingView.com