遭到抨擊:讓遭竊的 $285M USDC 在 Drift 漏洞期間自由流動
鏈上調查員 ZachXBT 於 2026 年 4 月 2 日批評 Circle,稱其未採取行動:在使用其跨鏈轉帳協議(Cross-Chain Transfer Protocol, CCTP)期間,價值達數百萬的被盜 USDC 在其系統中不受阻礙地流動,當時正值 $285 million Drift Protocol 事件的漏洞被利用;儘管該發行方早在一宗經密封的美國民事案件中,於數天前已凍結 16 個商業錢包。
2026 年 4 月 1 日對建立於 Solana 的去中心化交易所的攻擊,被列為 2026 年最大的 DeFi 漏洞事件。攻擊者在橋接(bridging)時刻意避開 Tether 的 USDT——這暗示其對 Circle 不會凍結資金抱持信心。
Drift Protocol 遭遇 $285 million 漏洞:被盜 USDC 跨鏈未受阻礙地流入
Drift Protocol 是 Solana 上的永續期貨平台,於 2026 年 4 月 1 日遭遇了巨額金庫被抽乾。安全公司 PeckShield 以及區塊鏈分析平台 Arkham Intelligence 標出:約 $285 million 的外流,從 Drift 的主要金庫流向攻擊者控制的錢包。攻擊者在橋接前,將被盜資產(大量涉及 USDC)透過多個錢包進行移轉,之後再使用 Circle 的跨鏈轉帳協議(Cross-Chain Transfer Protocol, CCTP)將其由 Solana 橋接至以太坊(Ethereum)。
這些轉帳發生在美國商業時段,並在數小時內持續進行,期間 Circle 完全沒有介入。ZachXBT 表示,當數以千萬計的 USDC 正透過 CCTP 由 Solana 交換到 Ethereum 時,Circle 是「在睡覺」。安全研究員 Specter 指出,攻擊者在橋接過程中把 USDC 分散持有於各錢包之間,時間約一至三小時,然後才進行交換,且刻意避免在橋接過程中轉換成 Tether(USDT)——這顯示攻擊者對 Circle 不會凍結資金抱有信心;而這份信心最終被證實是正確的。
Circle 的不一致凍結政策引發偽善指責
時機進一步加劇了挫折感。距離 Drift 漏洞事件僅數天前,2026 年 3 月 23 日,Circle 作為一宗經密封的美國民事案件的一部分,凍結了 16 個與該案無關的商業熱錢包的 USDC 餘額。這一行動擾亂了交易所、賭場以及支付處理商的運作。ZachXBT 先前稱這次凍結可能是他在超過五年以來見過最不稱職的作法,並表示鏈上分析顯示該等錢包正在進行合法活動。
Circle 後來於 3 月 26 日解凍了與 Goated.com 相關的一個錢包,但大多數仍被鎖定。對比十分鮮明:Circle 對一宗牽涉企業的民事事項採取了強硬行動,而被鎖定的企業似乎正進行看似正常的營運;然而在一起已確認的、涉及 9 位數規模的 DeFi 協議遭竊事件中,且被盜資金正以明目張膽的方式經過其自身的橋接基礎設施流轉,該公司卻沒有採取任何行動。
ZachXBT 也將這種行為連結到 Circle 旗下即將推出的 Arc 區塊鏈所提議的可選隱私功能,並指出這些功能可能透過限制誰能查看交易,進一步降低合規問責性。
市場影響與產業辯論
在以太坊端,攻擊者將被盜資產交換為約 129,000 ETH。Drift 的總鎖倉價值(TVL)從約 $550 million 驟降至 $247 million,跌幅超過一半,其原生 DRIFT 代幣也下跌近 28%。攻擊者很可能已開始透過混幣器(mixers)或去中心化交易所洗錢,使得資金回收的可能性愈發不大。
此事件再次點燃辯論:如果集中式穩定幣發行方在使用其凍結權時不一致,是否能為其行使該權力提供正當性。穩定幣發行方在行銷其產品時,將其定位為去中心化經濟的中立結算層;然而 USDC 與 USDT 皆在條款中運作,賦予單方凍結權,該權力被設計用以配合執法機關的請求與法院命令。問題並非該權力的存在——合規是合理且被預期的——而是其適用似乎更取決於是「誰在要求」,而不是取決於「發生了什麼」。
對開發者與投資人而言,此事件凸顯集中式穩定幣發行方並非中立的效用提供者(utility providers)。它們是具法律義務、商業誘因,且執法模式並不總是與依賴它們的協議利益一致的把關者。
常見問題(FAQ)
ZachXBT 在 Drift 事件中指控 Circle 什麼?
ZachXBT 指控 Circle 在 Drift 漏洞事件期間於其跨鏈轉帳協議(CCTP)中未採取行動:數以百萬計被盜的 USDC 在數小時內自由地流動;儘管轉帳發生在美國商業時段。他並將此與 Circle 在數天前於一宗民事案件中對 16 個商業錢包的強硬凍結做了對比。
攻擊者如何展示其對 Circle 不會凍結資金的信心?
攻擊者在完成交換前,曾在各錢包之間持有 USDC 一至三小時,且在橋接過程中刻意避免將資金轉換為 Tether 的 USDT,這表明該駭客對 Circle 不會凍結資金抱有信心。由於 Circle 沒有採取任何行動,這份信心是有根據的。
Drift 事件的市場影響是什麼?
Drift Protocol 的總鎖倉價值從約 $550 million 跌至 $247 million,跌幅超過一半,其原生 DRIFT 代幣也下跌近 28%。在以太坊端,攻擊者將被盜資產交換為約 129,000 ETH,使得資金因正在被洗錢而愈發難以回收。
相關文章