Emissor de stablecoin Circle enfrenta processo por hack do Drift Protocol

O Grupo Internet Circle enfrenta uma ação coletiva em um tribunal federal de Massachusetts por alegações de que não interveio enquanto atacantes desviavam fundos durante a exploração do Drift Protocol. A ação, movida pelo investidor do Drift Joshua McCollum em nome de mais de 100 reclamantes, sustenta que o Protocolo de Transferência Cross-Chain da Circle (CCTP) permitiu que aproximadamente $230 milhões em USDC fossem transferidos de Solana para Ethereum ao longo de várias horas em 1º de abril, sem ação oportuna.

Os demandantes alegam que a inação da Circle causou ou contribuiu substancialmente para as perdas e buscam indenizações a serem determinadas em julgamento. O caso destaca questões contínuas sobre se as empresas de criptomoedas que mantêm controle sobre fundos de usuários podem ou devem intervir em tempo real para impedir roubos ou uso indevido, e como essa responsabilidade potencial deve ser calibrada contra restrições regulatórias e autoridade legal.

Principais pontos

A ação alega que a Circle tinha capacidade técnica para congelar fundos comprometidos, apontando para uma ação anterior na qual a Circle congelou 16 carteiras USDC em conexão com um caso civil sigiloso.

O ataque do Drift utilizou as facilidades de cross-chain da Circle para mover cerca de $230 milhões em USDC de Solana para Ethereum ao longo de várias horas, com a ação afirmando que a Circle não agiu para interromper as transferências.

Analistas da Elliptic associaram a exploração a atores apoiados pelo DPRK, observando o movimento de fundos pela rede durante o horário comercial dos EUA e tentativas subsequentes de obscurecer a trilha por meio de ferramentas de privacidade.

As circunstâncias que cercam o incidente reacenderam o debate sobre a responsabilidade de provedores de DeFi e infraestrutura quando fundos de usuários são roubados, incluindo argumentos de que congelar ativos sem uma ordem judicial pode criar incentivos perversos ou considerações políticas para ações futuras.

A Circle não respondeu imediatamente aos pedidos de comentário, enquanto observadores da indústria e investidores ponderam as implicações legais e políticas para a gestão de riscos futura e proteção do usuário.

O que a ação alega e por que isso importa

O documento judicial, apresentado em um tribunal distrital de Massachusetts, afirma que a Circle “permitiu o uso criminoso de sua tecnologia e serviços” e que uma intervenção oportuna poderia ter reduzido substancialmente, se não evitado, as perdas. A ação enquadra a Circle como potencial cúmplice na conversão e negligente na supervisão do uso de suas próprias ferramentas de cross-chain. As alegações dependem do argumento de que a Circle tinha, ou deveria ter tido, a capacidade de congelar fundos ou intervir nos fluxos que possibilitaram o roubo, mesmo que reguladores e autoridades legais não tenham concedido imediatamente uma ordem de congelamento.

Como parte do processo, a equipe jurídica de McCollum observa que a Circle congelou 16 carteiras USDC em conexão com um outro caso civil sigiloso cerca de uma semana antes do incidente do Drift—uma ocorrência que, segundo eles, demonstra a capacidade da Circle de intervir em tempo real quando necessário. O processo referenciado no documento judicial é acessível ao público, e os demandantes apontam essa ação anterior como evidência de capacidade proporcional para interromper transferências semelhantes.

A questão mais ampla que o caso levanta é se empresas que ocupam uma posição central nas redes de cripto têm responsabilidade de agir quando irregularidades são detectadas ou suspeitas. Em muitos casos, executivos reconhecem limitações práticas, incluindo a falta de autorização legal explícita durante exploits de rápida evolução. A ação de Massachusetts busca responsabilizar e obter indenizações, mas também destaca uma tensão mais ampla e não resolvida entre princípios do Estado de Direito e as realidades operacionais de ecossistemas de finanças descentralizadas.

O Exploit do Drift, a mecânica e a suposta lacuna na resposta

O incidente do Drift Protocol envolveu uma sequência de transferências que moveram uma grande quantidade de USDC entre redes via CCTP da Circle. A queixa alega que os atacantes conseguiram mover cerca de $230 milhões em USDC de Solana para Ethereum sem intervenção oportuna da Circle, permitindo que os lucros fossem transferidos para uma cadeia diferente contra os interesses dos usuários.

Segundo os demandantes, as ferramentas da Circle eram capazes de interromper ou reverter atividades suspeitas, e a falha em intervir permitiu que os atacantes esvaziassem liquidez de um ecossistema para outro. A ação enquadra a inação da Circle como uma falha em proteger os fundos dos usuários, argumentando que as consequências se estenderam além dos indivíduos diretamente afetados para o ecossistema mais amplo—potencialmente prejudicando a confiança em ferramentas cross-chain e em plataformas que mantêm controle de fato sobre os tokens dos usuários durante crises.

Comentários do advogado dos demandantes enfatizam que as perdas poderiam ter sido menores se a Circle tivesse exercido controle oportuno, levantando questões sobre o limite de intervenção permitido para serviços centralizados de cripto em casos extremos de roubo ou apropriação indevida. A resposta da Circle à ação ainda não se materializou em comentários públicos, e a empresa não respondeu imediatamente ao pedido do Cointelegraph por comentário.

Rastreamento dos fundos: rotas de lavagem e atribuição

Pesquisadores da Elliptic identificaram a exploração do Drift como compatível com atividades vinculadas à DPRK. Em uma análise pós-ataque, a firma observou que mais de uma centena de transações relacionadas ao ataque ocorreram durante o horário de expediente dos EUA, um detalhe considerado relevante para esforços de atribuição e compreensão do ritmo operacional dos atacantes. A avaliação da Elliptic também descreve como os lucros foram convertidos em Ether (ETH) e roteados por canais de privacidade, incluindo o protocolo Tornado Cash, numa tentativa de obscurecer a trilha.

Embora a atribuição em forense de cripto ainda seja complexa e frequentemente contestada, as descobertas da Elliptic contribuem para uma narrativa mais ampla sobre a natureza transnacional e cross-chain dessas explorações. O incidente do Drift tornou-se parte de um discurso maior sobre como a aplicação de sanções e as capacidades de rastreamento se intersectam com as realidades práticas das finanças on-chain, e como empresas que fornecem soluções de ponte e custódia se encaixam nessa equação.

“Se a Circle acertou ou não depende de quanto você valoriza os princípios do Estado de Direito versus o dano concreto. Pessoas razoáveis discordam.”

Observadores da indústria apontam que o caso Drift está em uma encruzilhada: testa os limites do que é considerado ação adequada quando fundos são considerados roubados, e quais autoridades legais seriam necessárias para justificar um congelamento ou reversão em um contexto de rede permissionless. O caso também se cruza com debates em andamento sobre a responsabilidade de desenvolvedores de DeFi e provedores de infraestrutura quando episódios de uso indevido ocorrem nas redes que mantêm.

Responsabilidade, intervenção e a visão de investimento

Após a ação, o debate sobre responsabilidade se intensificou entre investidores e pesquisadores. Lorenzo Valente, diretor de pesquisa de ativos digitais na ARK Invest, argumentou que a decisão da Circle de não congelar fundos na ausência de uma ordem legal representa uma postura defensável, aderindo estritamente aos princípios do Estado de Direito. Ele afirmou que congelar ativos sem uma diretriz judicial poderia abrir espaço para discricionariedade arbitrária e minar padrões legais estabelecidos, enquadrando o caso como parte de um debate maior sobre riscos constitucionais para redes de cripto que operam além das fronteiras e jurisdições.

A posição de Valente reflete um sentimento mais amplo em alguns círculos de investidores e acadêmicos: que a arquitetura legal ao redor da infraestrutura de cripto ainda está se ajustando ao ritmo e à sofisticação da atividade on-chain. O caso também destaca uma troca estratégica importante para usuários e construtores: a tensão entre a capacidade técnica de intervir e a necessidade legítima de ações cuidadosas, fundamentadas legalmente, que não criem precedentes perigosos para congelamentos arbitrários de ativos.

À medida que o processo legal avança, observadores ficarão atentos a como o tribunal interpretará as responsabilidades dos provedores de infraestrutura de cripto e se qualquer acordo ou decisão judicial poderá redefinir o padrão para incidentes futuros. O processo do Drift não é a única lente sobre essa questão, mas é uma das mais de destaque, dado o volume de fundos envolvidos e o papel central da Circle na ponte de ativos entre cadeias.

O que os leitores devem acompanhar

O caso ainda está em estágio inicial, e o tribunal ainda precisa determinar as medidas corretivas apropriadas ou estabelecer uma estrutura clara de responsabilidade em contextos semelhantes. Questões-chave incluem se um tribunal exigirá ou autorizará congelamentos de ativos em incidentes futuros, como os danos serão calculados e o que isso pode significar para provedores de infraestrutura cross-chain e serviços de custódia.

Reguladores e legisladores também provavelmente irão examinar a evolução do equilíbrio entre gerenciamento proativo de riscos e os limites prescritivos de autoridade sobre redes privadas e permissionless. Para investidores e usuários, a principal lição é que os mecanismos de responsabilização para as redes de cripto ainda estão em formação—e a forma como esses mecanismos se desenvolverem poderá influenciar modelos de risco, design de produtos e engajamento regulatório nos próximos trimestres.

À medida que a Circle e os investidores do Drift navegam por essas questões, participantes do mercado ficarão atentos a marcos legais, possíveis acordos ou esclarecimentos políticos que possam influenciar a gestão de incidentes semelhantes no futuro. A evolução desse caso pode ajudar a definir se congelamentos de ativos se tornarão uma ferramenta comum na gestão de crises ou permanecerão medidas extraordinárias, sujeitas a processos formais e devido processo legal.