ZachXBT rapport d'enquête : Circle a multiplié les manquements dans ses actions de conformité, impliquant plus de 420 millions de dollars

Actualités de Mars Finance. Le 3 avril, le détective on-chain ZachXBT a publié un rapport d’enquête visant Circle, affirmant que depuis 2022, la société fait face à des problèmes de « mise en conformité insuffisante » dans plusieurs affaires impliquant des fonds illégaux, pour un montant total supérieur à 420 millions de dollars. Le rapport indique que, en tant qu’émetteur de l’USDC, Circle est réputé depuis longtemps pour son système de régulation et de conformité bien établi, et que son contrat de jeton dispose aussi de fonctionnalités permettant de geler et de mettre sur liste noire des adresses, tout en précisant dans ses conditions de service qu’il conserve le droit de restreindre les comptes suspects. Cependant, dans plusieurs incidents de sécurité majeurs, ces mécanismes n’ont pas été utilisés de manière opportune et efficace. Le rapport met notamment l’accent sur l’attaque subie le 1er avril 2026 par le protocole Drift Protocol : environ 280 millions de dollars d’actifs auraient été volés. Les attaquants, en passant par le pont inter-chaînes interne de Circle, CCTP, ont transféré en 6 heures plus de 232 millions d’USDC de Solana vers Ethereum, sans qu’aucun actif ne soit gelé. Des situations similaires se sont également produites lors d’attaques contre SwapNet, Cetus Protocol et Mango Markets, entre autres. Dans certains cas, même lorsque les forces de l’ordre et des experts du secteur avaient déjà formulé des demandes de gel, Circle n’a toujours pas agi en temps utile, allant jusqu’à traiter la situation seulement après le transfert des actifs. En outre, le rapport indique que, dans le cadre d’une enquête sur le blanchiment de fonds impliquant l’organisation pirate Lazarus Group, Circle a réagi nettement plus tard que d’autres émetteurs de stablecoins (comme Tether, Paxos, etc.). Dans certains cas, le gel a été retardé de plusieurs mois. Des retards similaires ont aussi été observés dans l’attaque de la chaîne d’approvisionnement de Ledger et dans l’incident où GMX a été attaqué : les USDC sont restés sur des adresses suspectes pendant plusieurs heures, voire davantage, sans être gelés. Dans le rapport, ZachXBT déclare que cette divulgation ne vise pas à nier la valeur du produit de Circle ou de son stablecoin en tant que tel, mais il souligne que ses décisions en matière d’exécution de la conformité ont causé à l’industrie des « pertes réelles et considérables ». Il affirme qu’au cours des trois dernières années, en raison de nombreuses inactions, les pertes cumulées dans l’écosystème DeFi atteignent des montants à neuf chiffres en dollars, et que les 420 millions de dollars ne constituent qu’une estimation prudente des cas déjà rendus publics ; l’ampleur réelle pourrait être plus élevée.