Circle et USDC : 420M$ de fonds illicites non gelés, ZachXBT balance tout

ZachXBT frappe encore. L'enquêteur on-chain le plus redouté de la crypto vient de publier un rapport explosif le 3 avril. Sa cible : Circle, l'émetteur de l'USDC. Son accusation : plus de 420 millions de dollars de fonds liés à des hacks ou activités illicites n'auraient pas été gelés, ou alors avec un retard inacceptable, depuis 2022.

Le dossier le plus lourd concerne l'exploit de Drift Protocol et ses 280 millions de dollars volatilisés. L'attaquant aurait transféré plus de 232 millions de dollars en USDC de Solana vers Ethereum en utilisant le propre protocole cross-chain de Circle, le CCTP. Pendant plusieurs heures, les fonds ont circulé librement. Aucun gel. Rien. L'attaquant, potentiellement lié à la Corée du Nord selon la firme Elliptic, a eu tout le temps de disparaître dans la nature.

Mais Drift n'est pas un cas isolé. ZachXBT dresse une liste qui fait mal. L'exploit de Cetus Protocol en 2025 : 223 millions de dollars, gel intervenu des semaines après les premières demandes. Mango Markets en 2022 : 110 millions de dollars, aucun gel malgré l'identification publique de l'attaquant. Le hack du bridge Nomad : 190 millions de dollars restés tranquillement dans les wallets des exploiteurs pendant les premières phases de l'incident.

Dans plusieurs de ces affaires, Tether a réagi plus vite que Circle pour geler les fonds sur les mêmes adresses. L'ironie est féroce quand on sait que Circle se positionne comme le stablecoin propre, régulé, conforme. Celui que les institutions sont censées préférer.

Circle vend l'USDC comme un stablecoin doté de fonctions de compliance intégrées. La capacité de geler ou blacklister des adresses existe bel et bien dans le smart contract. Les conditions d'utilisation donnent même à Circle le pouvoir de restreindre l'accès aux fonds "à sa seule discrétion". Le problème n'est pas l'outil. C'est son utilisation. Ou plutôt son non-usage quand ça compte vraiment.

Le timing de ce rapport n'a rien d'anodin. Les États-Unis, le Canada et l'Europe avancent sur des cadres réglementaires pour les stablecoins. L'USDC se positionne comme une infrastructure financière sérieuse. Mais si Circle n'arrive pas à geler des centaines de millions qui transitent via son propre protocole pendant des heures, la promesse de compliance ressemble davantage à un argument marketing qu'à une réalité opérationnelle.

Circle n'a pas répondu publiquement au rapport au moment de la publication. Les régulateurs n'ont pas non plus vérifié les allégations de manière indépendante. Mais les données on-chain sont là, visibles par tous. C'est justement la beauté et la cruauté de la blockchain : les preuves ne disparaissent pas.

Le vrai problème de fond, c'est la fragmentation cross-chain. Quand un attaquant bridge des fonds entre Solana et Ethereum en quelques heures, les processus de compliance traditionnels sont trop lents. Mais c'est précisément la promesse de Circle : être capable de réagir en temps réel. Si cette promesse est creuse, les régulateurs voudront le savoir.

Ce que ça change : Circle joue la carte de la régulation pour séduire les institutions, mais ce rapport révèle un fossé entre le discours et la réalité. Si l'émetteur du deuxième plus gros stablecoin au monde ne peut pas geler des fonds volés transitant par son propre protocole, alors la compliance USDC n'est qu'une façade. Les régulateurs vont s'en servir comme argument pour durcir les règles, et Tether — comble du paradoxe — sort renforcé de cette histoire.