온체인 조사관 잭엑스비티(ZachXBT)가 서클(Circle)이 2억8500만 달러 상당의 드리프트 프로토콜(Drift Protocol) 해킹 사건에서 도난당한 USDC 수백만 달러가 자체 크로스체인 브릿지를 통해 자유롭게 이동하는 동안 아무런 조치를 취하지 않았다고 비판했습니다.
이 비판은 솔라나(Solana) 기반 탈중앙화 거래소가 4월 1일에 공격을 받은 직후 제기되었습니다. 이 사건은 2026년 현재까지 가장 큰 디파이 해킹으로 기록되고 있습니다.
서클, CCTP 미조치 논란
드리프트 프로토콜은 솔라나(SOL) 상의 영구선물 플랫폼입니다. 4월 1일에 대규모 금고 자산 유출 사고를 겪었습니다. 보안 기업 펙쉴드(PeckShield)와 블록체인 분석 플랫폼 아캄 인텔리전스(Arkham Intelligence)는 약 2억8500만 달러 상당의 자산이 드리프트의 메인 금고에서 해커의 지갑으로 이동했다고 밝혔습니다.
공격자는 탈취한 자산, 특히 USDC를 중심으로 여러 지갑을 거쳐 이동시킨 뒤, 서클의 크로스체인 전송 프로토콜(CCTP)을 사용해 솔라나에서 이더리움으로 전송했습니다.
잭엑스비티는 해당 전송이 미국 업무 시간 동안 이뤄졌지만 아무런 개입도 없었다고 지적했습니다.
“서클은 미국 시간 동안 있었던 9자리 드리프트 해킹 동안 CCTP를 통해 솔라나에서 이더리움으로 수천만 달러 상당의 USDC가 몇 시간 동안 교환되는 동안 아무 것도 하지 않고 있었습니다.” – 블록체인 조사관 잭엑스비티(ZachXBT)
보안 연구원 스펙터(Specter) 역시 우려를 표했습니다. 그는 해커가 여러 지갑에서 USDC를 1~3시간 보유한 뒤 교환했고, 브릿지 과정에서 테더(USDT)로 변환하지 않은 점을 언급하며, 이는 서클이 자금을 동결하지 않을 것이라는 확신이 있었음을 시사한다고 밝혔습니다.
상반된 반응 반복
이런 움직임은 더욱 실망감을 키웠습니다. 실제로 드리프트 해킹이 있기 며칠 전인 3월 23일, 서클은 미국 민사 사건과 관련해 16개의 무관한 기업 핫월렛에 담긴 USDC 잔고를 동결했습니다.
이 조치로 인해 거래소, 카지노, 결제처리업체들의 운영이 중단되었습니다.
잭엑스비티는 과거 해당 동결이 지난 5년 중 본 적 없는 가장 무능한 조치였다고 언급했습니다. 온체인 분석에 따르면, 지갑들은 정당한 거래를 하고 있었습니다.
서클은 3월 26일 Goated.com과 연결된 한 개의 월렛만 해제했지만, 대부분은 여전히 동결된 상태입니다.
이러한 차이는 매우 뚜렷합니다. 서클은 정당한 사업체에 대한 민사 사안에선 매우 과감하게 조치했습니다. 하지만 9자리 규모의 해킹이 확정된 상황에서는 자체 인프라에서 이동하는 도난 자산에 대해 아무런 동결 조치도 하지 않았습니다.
잭엑스비티는 이러한 태도가 서클이 새롭게 출시 예정인 아크(Arc) 블록체인에서 제안된 선택적 프라이버시 기능과도 관련됨을 지적했습니다. 그는 해당 기능이 누구나 거래를 볼 수 있는 범위를 제한함으로써 준법 책임성을 더욱 약화시킬 수 있다고 주장했습니다.
서클, 드리프트 다음 행보는
이더리움 측에선 탈취된 자산이 약 12만9000개의 이더(ETH)로 교환되었습니다. 드리프트의 총예치량은 약 5억5000만 달러에서 2억4700만 달러로 급감했으며, 네이티브 DRIFT 토큰 가격은 약 28% 하락했습니다.
서클은 해당 비판에 대해 공식 입장을 내지 않았습니다. 이 사건은 중앙화 스테이블코인 발행자가 동결 권한을 일관성 없이 행사할 경우, 그 정당성이 있는지에 대한 논쟁을 다시 불러일으키고 있습니다.
