オンチェーン調査者のZachXBT氏は、ステーブルコインUSDコイン(USDC)の発行元であるCircle(サークル)社に対し、不正資金への凍結対応が不十分であるとの批判を展開しました。同氏の報告によると、2022年以降で少なくとも4億2000万ドル(約650億円)相当のUSDCが、適切なタイミングで凍結されなかったと指摘されています。中央集権型ステーブルコインとしてのコンプライアンスの実効性が問われており、業界内での議論を呼んでいます。
相次ぐ大規模ハッキング事件での対応遅れ
ZachXBT氏は、サークル社が過去の不正事例において「最小限の対応しか取らなかった」と主張し、具体的な事例を挙げています。
特に注目されているのが、2026年4月に発生したSolana(ソラナ)基盤の分散型取引所「Drift Protocol(ドリフト・プロトコル)」での大規模ハッキング事件です。この事件では約2億8000万ドル相当の被害が発生しました。攻撃者は約2億3200万USDCを、サークル社が提供するCCTP(異なるブロックチェーン間でUSDCを移動させる公式プロトコル)を介してブリッジし、6時間以上にわたって100回以上のトランザクションを実行しました。しかし、その間に凍結措置は講じられなかったとされています。
また、2025年5月に発生したCetus Protocol(セタス・プロトコル)のハッキング事件(約2億2300万ドル規模)についても言及されています。このケースでは、約6100万USDCがSui(スイ)からイーサリアムへ移動され、関係者がサークル社に凍結を要請したにもかかわらず、ブラックリストへの登録が行われたのは約1カ月後だったと報告されています。その時点ですでに資金は他の資産に変換されており、凍結の効果は限定的だったと見られます。
サークル社の立場と法的背景
これらの指摘に対し、サークル社は自社の対応方針を説明しています。同社は、資産の凍結は「制裁や法執行機関の命令、裁判所の要請」などの法的要件に基づいて行うとしており、法の支配とユーザーの権利・プライバシーを尊重する姿勢を強調しています。
また、ドリフト事件のようなケースについては、単独企業の対応には限界があるとの認識を示しました。デジタル資産のエコシステム全体で連携を強化し、責任を共有していく必要があると述べています。
一方で、USDCのスマートコントラクトには特定のアドレスを制限する「ブラックリスト機能」が備わっており、利用規約にも疑わしい活動へのアクセス制限が可能である旨が明記されています。ZachXBT氏は、USDCが「安全で規制を遵守したステーブルコイン」として市場に提供されている以上、そのリソースを活用してより迅速なコンプライアンス対応やユーザー保護を行うべきだと主張しています。
ポイント
- オンチェーン調査者のZachXBT氏が、サークル社による総額4億2000万ドル以上の不正資金への対応が遅いと批判しています。
- 直近のドリフト事件では、攻撃者がCCTPを利用して多額のUSDCを移動させた6時間の間に凍結が行われませんでした。
- 2025年のセタス事件では、凍結要請からブラックリスト登録まで約1カ月の期間を要したと指摘されています。
- サークル社は、法執行機関の命令などの法的根拠に基づく対応を原則としており、エコシステム全体での連携が必要であると回答しています。
- 中央集権型ステーブルコインに備わっている凍結機能の実効性と、規制遵守を掲げる企業の責任のあり方が改めて注目されています。