← Retour 🔴 hack

Circle et USDC : +420M$ envolés pendant que la boîte regardait ailleurs

L'investigateur on-chain ZachXBT accuse Circle d'avoir laissé filer plus de 420 millions de dollars de fonds volés faute d'utiliser ses outils de gel. Un rapport au vitriol qui pose une question simple : Circle protège qui, exactement ?
📅 samedi 4 avril 2026 ⏱ 2 min de lecture
Circle et USDC : +420M$ envolés pendant que la boîte regardait ailleurs

ZachXBT frappe fort. Dans un rapport publié vendredi sur X, intitulé "The Circle USDC Files", l'investigateur on-chain recense plus de 420 millions de dollars de pertes liées à des défaillances de conformité chez Circle depuis 2022. Des défaillances qui n'ont rien d'accidentel selon lui : Circle avait les outils, Circle ne s'en est pas servi.

Le contrat USDC intègre une fonction native de gel et de blacklist des adresses. Les conditions d'utilisation de Circle lui donnent explicitement le droit de bloquer des acteurs suspects, à sa seule discrétion. Sur le papier, tout est en ordre. Dans les faits, le rapport documente cas après cas des inactions inexpliquées.

L'exemple le plus frappant est l'exploit du protocole Drift, survenu le 1er avril 2026. Un attaquant y a drainé environ 280 millions de dollars. Pour blanchir la mise, il a utilisé le Cross-Chain Transfer Protocol (CCTP) de Circle, soit le bridge natif de la société, pour transférer plus de 232 millions de USDC de Solana vers Ethereum en plus de 100 transactions. Les fonds ont circulé pendant des heures via l'infrastructure même de Circle. Résultat : zéro USDC gelé. L'attaque a eu des répercussions sur plus de 10 projets DeFi de l'écosystème Solana.

Autre cas documenté : l'attaque contre SwapNet le 25 janvier 2026, qui a coûté 16 millions de dollars. Environ 3 millions de USDC sont restés deux jours entiers sur l'adresse de l'exploiteur. Des forces de l'ordre et des analystes privés ont soumis des demandes de gel temporaire à Circle pour cette adresse. Circle n'a pas bougé.

Le rapport enfonce encore le clou avec le dossier Lazarus Group. En avril 2024, ZachXBT avait retracé le blanchiment de fonds issus de plus de deux douzaines de hacks convertis en monnaie fiat. Les autorités avaient demandé le gel de deux adresses auprès de quatre émetteurs de stablecoins : Circle, Tether, Paxos et Techteryx. Les trois autres ont agi rapidement. Circle, elle, a mis environ 4,5 mois de plus que ses concurrents pour geler les mêmes adresses.

ZachXBT précise que les 420 millions de dollars ne couvrent que les incidents publics majeurs et que le chiffre réel pourrait être bien supérieur. Ce n'est pas une erreur ponctuelle, c'est un schéma répété sur plusieurs années.

Sa conclusion est sans équivoque : "Ils ont tous les outils et toutes les ressources pour faire mieux. Ils ne l'ont tout simplement pas fait." Et il termine par une question qui résume tout : qui Circle sert-elle vraiment ?

Circle est en plein processus d'introduction en bourse. L'émetteur de USDC, deuxième plus grand stablecoin au monde, soigne son image de acteur régulé et responsable. Ce rapport arrive au pire moment.

Ce que ça change : Si les accusations de ZachXBT sont fondées, Circle n'est pas un acteur passif victime des hacks — c'est un facilitateur involontaire du blanchiment à grande échelle. Pour un émetteur qui se pose en modèle de conformité face à Tether, c'est un problème existentiel. Les régulateurs qui suivent le dossier de l'IPO vont avoir des questions très précises à poser.

A lire aussi
hack
5,7 milliards volés en crypto : la « solution DeFi » ne règle presque rien
 XRP explose à 8,1M d'adresses pendant que des hackers nord-coréens infiltraient SHIB
hack
XRP explose à 8,1M d'adresses pendant que des hackers nord-coréens infiltraient SHIB
 Drift Protocol : 285M$ volés après 6 mois d'infiltration nord-coréenne
hack
Drift Protocol : 285M$ volés après 6 mois d'infiltration nord-coréenne