遭到抨擊：讓遭竊的 $285M USDC 在 Drift 漏洞期間自由流動

鏈上調查員 ZachXBT 於 2026 年 4 月 2 日批評 Circle，稱其未採取行動：在使用其跨鏈轉帳協議（Cross-Chain Transfer Protocol, CCTP）期間，價值達數百萬的被盜 USDC 在其系統中不受阻礙地流動，當時正值 $285 million Drift Protocol 事件的漏洞被利用；儘管該發行方早在一宗經密封的美國民事案件中，於數天前已凍結 16 個商業錢包。

2026 年 4 月 1 日對建立於 Solana 的去中心化交易所的攻擊，被列為 2026 年最大的 DeFi 漏洞事件。攻擊者在橋接（bridging）時刻意避開 Tether 的 USDT——這暗示其對 Circle 不會凍結資金抱持信心。

Drift Protocol 遭遇 $285 million 漏洞：被盜 USDC 跨鏈未受阻礙地流入

Drift Protocol 是 Solana 上的永續期貨平台，於 2026 年 4 月 1 日遭遇了巨額金庫被抽乾。安全公司 PeckShield 以及區塊鏈分析平台 Arkham Intelligence 標出：約 $285 million 的外流，從 Drift 的主要金庫流向攻擊者控制的錢包。攻擊者在橋接前，將被盜資產（大量涉及 USDC）透過多個錢包進行移轉，之後再使用 Circle 的跨鏈轉帳協議（Cross-Chain Transfer Protocol, CCTP）將其由 Solana 橋接至以太坊（Ethereum）。

這些轉帳發生在美國商業時段，並在數小時內持續進行，期間 Circle 完全沒有介入。ZachXBT 表示，當數以千萬計的 USDC 正透過 CCTP 由 Solana 交換到 Ethereum 時，Circle 是「在睡覺」。安全研究員 Specter 指出，攻擊者在橋接過程中把 USDC 分散持有於各錢包之間，時間約一至三小時，然後才進行交換，且刻意避免在橋接過程中轉換成 Tether（USDT）——這顯示攻擊者對 Circle 不會凍結資金抱有信心；而這份信心最終被證實是正確的。

Circle 的不一致凍結政策引發偽善指責

時機進一步加劇了挫折感。距離 Drift 漏洞事件僅數天前，2026 年 3 月 23 日，Circle 作為一宗經密封的美國民事案件的一部分，凍結了 16 個與該案無關的商業熱錢包的 USDC 餘額。這一行動擾亂了交易所、賭場以及支付處理商的運作。ZachXBT 先前稱這次凍結可能是他在超過五年以來見過最不稱職的作法，並表示鏈上分析顯示該等錢包正在進行合法活動。

Circle 後來於 3 月 26 日解凍了與 Goated.com 相關的一個錢包，但大多數仍被鎖定。對比十分鮮明：Circle 對一宗牽涉企業的民事事項採取了強硬行動，而被鎖定的企業似乎正進行看似正常的營運；然而在一起已確認的、涉及 9 位數規模的 DeFi 協議遭竊事件中，且被盜資金正以明目張膽的方式經過其自身的橋接基礎設施流轉，該公司卻沒有採取任何行動。

ZachXBT 也將這種行為連結到 Circle 旗下即將推出的 Arc 區塊鏈所提議的可選隱私功能，並指出這些功能可能透過限制誰能查看交易，進一步降低合規問責性。

市場影響與產業辯論

在以太坊端，攻擊者將被盜資產交換為約 129,000 ETH。Drift 的總鎖倉價值（TVL）從約 $550 million 驟降至 $247 million，跌幅超過一半，其原生 DRIFT 代幣也下跌近 28%。攻擊者很可能已開始透過混幣器（mixers）或去中心化交易所洗錢，使得資金回收的可能性愈發不大。

此事件再次點燃辯論：如果集中式穩定幣發行方在使用其凍結權時不一致，是否能為其行使該權力提供正當性。穩定幣發行方在行銷其產品時，將其定位為去中心化經濟的中立結算層；然而 USDC 與 USDT 皆在條款中運作，賦予單方凍結權，該權力被設計用以配合執法機關的請求與法院命令。問題並非該權力的存在——合規是合理且被預期的——而是其適用似乎更取決於是「誰在要求」，而不是取決於「發生了什麼」。

對開發者與投資人而言，此事件凸顯集中式穩定幣發行方並非中立的效用提供者（utility providers）。它們是具法律義務、商業誘因，且執法模式並不總是與依賴它們的協議利益一致的把關者。

常見問題（FAQ）

ZachXBT 在 Drift 事件中指控 Circle 什麼？

ZachXBT 指控 Circle 在 Drift 漏洞事件期間於其跨鏈轉帳協議（CCTP）中未採取行動：數以百萬計被盜的 USDC 在數小時內自由地流動；儘管轉帳發生在美國商業時段。他並將此與 Circle 在數天前於一宗民事案件中對 16 個商業錢包的強硬凍結做了對比。

攻擊者如何展示其對 Circle 不會凍結資金的信心？

攻擊者在完成交換前，曾在各錢包之間持有 USDC 一至三小時，且在橋接過程中刻意避免將資金轉換為 Tether 的 USDT，這表明該駭客對 Circle 不會凍結資金抱有信心。由於 Circle 沒有採取任何行動，這份信心是有根據的。

Drift 事件的市場影響是什麼？

Drift Protocol 的總鎖倉價值從約 $550 million 跌至 $247 million，跌幅超過一半，其原生 DRIFT 代幣也下跌近 28%。在以太坊端，攻擊者將被盜資產交換為約 129,000 ETH，使得資金因正在被洗錢而愈發難以回收。