← Retour 🔴 hack

Circle et le USDC : 420 millions de raisons de poser des questions

L'investigateur on-chain ZachXBT accuse Circle d'avoir laissé filer plus de 420 millions de dollars en fonds volés faute d'agir avec ses outils de gel. Un rapport qui fait mal.
📅 samedi 4 avril 2026 ⏱ 2 min de lecture
Circle et le USDC : 420 millions de raisons de poser des questions

ZachXBT vient de lâcher une bombe. Dans un rapport publié sur X intitulé "The Circle USDC Files", l'investigateur on-chain documente plus de 420 millions de dollars de pertes liées à des défaillances répétées de Circle dans la gestion de son stablecoin USDC depuis 2022.

Le constat est brutal : Circle dispose contractuellement et techniquement de la capacité de geler des fonds et de blacklister des adresses suspectes. Elle ne l'a tout simplement pas fait, ou trop tard.

L'exemple le plus frappant est l'exploit du protocole Drift, survenu le 1er avril 2026. Un attaquant a vidé environ 280 millions de dollars. Pour blanchir le butin, il a utilisé le Cross-Chain Transfer Protocol (CCTP) de Circle — le bridge natif de la société — pour transférer plus de 232 millions de USDC de Solana vers Ethereum en plus de 100 transactions. L'opération a duré des heures. Circle n'a gelé aucun fonds. Zéro.

Dix protocoles DeFi de l'écosystème Solana ont été impactés dans la foulée. L'attaquant avait les mains libres pendant que le bridge maison de Circle servait de tuyau à blanchiment.

Autre cas documenté : l'attaque contre SwapNet le 25 janvier 2026, avec 16 millions de dollars dérobés. Environ 3 millions de USDC sont restés deux jours entiers dans l'adresse de l'exploiteur. Des forces de l'ordre et des analystes privés ont soumis des demandes de gel d'urgence à Circle. Résultat : aucune action.

Le rapport remonte aussi à avril 2024, avec une enquête sur le groupe Lazarus. Les autorités avaient demandé à quatre émetteurs de stablecoins — Circle, Tether, Paxos et Techteryx — de geler deux adresses liées à des dizaines de hacks. Tether, Paxos et Techteryx ont agi rapidement. Circle a mis environ 4,5 mois de plus que les trois autres pour geler les mêmes adresses.

ZachXBT insiste : le chiffre de 420 millions de dollars ne couvre que les incidents publics majeurs. Le total réel pourrait être bien supérieur. Ce n'est pas une question de moyens techniques ou légaux — Circle a tout ce qu'il faut. C'est une question de volonté.

La question de clôture du rapport est cinglante : qui Circle sert-elle vraiment ?

Circle est actuellement en plein processus d'introduction en bourse. Le timing de ce rapport, quelques semaines avant une potentielle cotation, n'est clairement pas anodin. Les investisseurs institutionnels vont devoir regarder ce dossier en face.

Ce que ça change : Si les accusations de ZachXBT tiennent la route, Circle n'est plus seulement un émetteur de stablecoin négligent — c'est une infrastructure critique qui a choisi, à plusieurs reprises, de ne pas protéger les victimes de hacks alors qu'elle en avait le pouvoir. Pour un acteur qui veut séduire Wall Street et les régulateurs, c'est une bombe à retardement.

A lire aussi
hack
5,7 milliards volés en crypto : la « solution DeFi » ne règle presque rien
 XRP explose à 8,1M d'adresses pendant que des hackers nord-coréens infiltraient SHIB
hack
XRP explose à 8,1M d'adresses pendant que des hackers nord-coréens infiltraient SHIB
 Drift Protocol : 285M$ volés après 6 mois d'infiltration nord-coréenne
hack
Drift Protocol : 285M$ volés après 6 mois d'infiltration nord-coréenne