BlockBeatsのメッセージ、4月3日、オンチェーン調査員のZachXBTがCircleに関する調査報告書を公開し、2022年以降、同社には違法資金が関与する複数の事件において「コンプライアンス執行が不十分」であるという問題があり、累計で4.2億ドルを超える金額が関わっていると述べた。報告書は、USDCの発行元であるCircleは規制を受け、コンプライアンス体制が整っていることで常に知られており、そのトークンのコントラクトにもアドレスの凍結およびブラックリスト化の機能が備わっていること、そしてサービス規約の中で疑わしい口座への制限を行う権利を明確に留保していることを指摘している。にもかかわらず、多数の重大なセキュリティ事件において、これらの仕組みは適時かつ効果的に用いられていなかった。
報告書は、2026年4月1日のDrift Protocolが攻撃された事件を特に重点的に挙げている。約2.8億ドル相当の資産が盗まれ、攻撃者はCircleが自社で保有するクロスチェーンブリッジCCTPを通じて、6時間以内に2.32億USDC以上をSolanaからEthereumへ移転したが、その間にいかなる資産も凍結されなかった。同様の状況はSwapNet、Cetus Protocol、Mango Marketsなどの攻撃事件でも見られ、一部の事例では、捜査機関や業界の専門家が凍結要請をすでに出していたにもかかわらず、Circleはいまだに迅速な対応を取らず、さらには資産が移転された後にようやく処理した。
さらに、報告書は、ハッカー集団Lazarus Groupに関連する資金洗浄の調査において、Circleは他のステーブルコイン発行元(Tether、Paxosなど)と比べて明らかに対応が遅れていたとも指摘している。いくつかの事例では、凍結手続きの遅延が数カ月に及んだ。同様の遅延は、Ledgerのサプライチェーン攻撃やGMXが攻撃された事件でも見られ、USDCが疑わしいアドレスに数時間、あるいはそれ以上滞留しても、凍結されなかった。
ZachXBTは報告書の中で、今回の開示はCircleの製品やステーブルコインそのものの価値を否定するものではないと述べつつ、コンプライアンス執行に関する同社の意思決定が業界に「現実的で重大な損失」をもたらしたと強調した。彼は、過去3年間で複数回にわたって適時の行動が取られなかった結果、DeFiエコシステムの累計損失が9桁のドル規模に達している一方で、4.2億ドルは公開事例の保守的な集計にすぎず、実際の規模はさらに大きい可能性があると指摘した。
