ハッキング事例からUSDC対応の遅れが浮上
オンチェーン調査員のZachXBTは、USDC発行元のCircle(サークル)が2022年以降の複数の仮想通貨ハッキング事件で、不正資金への対応を遅らせた、または十分な措置を講じなかったとする調査結果を公表した。
1/ Welcome to the Circle $USDC files.
$420M+ in alleged compliance failures since 2022, including fifteen cases of the US-regulated stablecoin issuer taking minimal action against illicit funds. pic.twitter.com/OiWZz5MrVM
— ZachXBT (@zachxbt) April 3, 2026
2022年以降、4億2,000万ドル以上のコンプライアンス違反が疑われており、その中には、米国で規制されているステーブルコイン発行者が不正資金に対して最小限の措置しか取らなかった15件の事例が含まれています。
公開された「Circle Files」では、15件の事例をもとに総額4億2,000万ドル(約671.4億円)超の盗難資金対応に関する問題が指摘されている。調査では、CircleがUSDCアドレスの凍結やブラックリスト登録を行える立場にありながら、実際の事件では対応が遅れた、あるいは実施されなかったケースが並んだ。法執行機関や民間企業からの要請があっても、対応が間に合わない事例が複数確認されている。
2026年4月1日に発生したDrift Protocolの事例では、約2億8,000万ドル(約447.6億円)の損失のうち2億3,200万ドル(約370.8億円)がUSDCに関連していた。攻撃者はCCTPを通じて6時間以上にわたり100回超のトランザクションで資金を移動させたが、その間に凍結措置は行われなかったとされる。この影響はソラナ(Solana)エコシステムの10以上のDeFiプロトコルに波及した。
また、2026年1月のSwapNetでは1,600万ドル(約25.6億円)の被害が発生し、そのうち300万ドル(約4.8億円)相当のUSDCがハッカーのアドレスに2日間残っていたが、凍結要請に対応しなかったと指摘されている。Cetus Protocol、Mango Markets、Nomad Bridge、Ledger、Radiant Capitalなどの事例でも、同様に対応の遅れや未対応が確認された。
Bybit事例が示す対応差と規制論点
2025年2月のBybit(バイビット)ハッキングでは、危険にさらされた33万8,000USDCに関し、Circleの対応がTether(テザー)より24時間遅れたとされる。この事例は、発行体ごとの対応速度の違いを示すものとして注目された。
ZachXBTは、Circleが米国の連邦および州の金融規制の対象である点にも触れ、不正資金への対応には規制上の義務が伴うと指摘した。USDCは中央集権型のステーブルコインであり、発行者にはアドレス凍結やブラックリスト化の権限がある。
今回の調査は、USDCがDeFiやクロスチェーン領域で広く利用されていることを踏まえ、対応の遅れがもたらすリスクを浮き彫りにした。ZachXBTは、4億2,000万ドルという数字は主要な公的事例に限ったものであり、実際の規模はさらに大きい可能性があると述べている。ステーブルコインへの監視が強まる中、Circleのコンプライアンス体制が改めて問われている。
