Circle tuvo 6 horas para congelar $285M en USDC robados — No hizo nada
Seis horas. Ese es el tiempo que $ 232 millones en USDC robados fluyeron a través del propio Cross-Chain Transfer Protocol (CCTP) de Circle desde Solana hacia Ethereum — durante el horario laboral de EE. UU., a plena luz del día, el 1 de abril de 2026 — mientras la empresa que emite y controla cada token USDC existente observaba y no hacía nada. El exploit de Drift Protocol, ahora confirmado como el mayor hackeo de DeFi de 2026, ha encendido un furioso debate sobre qué deben los emisores de stablecoins al ecosistema y si la "aplicación selectiva" es peor que ninguna aplicación en absoluto.
El atraco a Drift Protocol: $ 285 millones en 12 minutos
El 1 de abril de 2026, los atacantes drenaron 1.4 mil millones de Bybit — marcando su decimoctava operación cripto conocida solo en 2026.
Los atacantes pasaron tres semanas preparando el terreno. A partir del 11 de marzo, retiraron ETH de Tornado Cash y desplegaron un token de colateral falso llamado CVT (carbonvote token), inyectando una liquidez mínima en Raydium y realizando wash-trading para mantener un precio cercano a $ 1.00. Entre el 23 y el 30 de marzo, el atacante creó múltiples cuentas de "durable nonce" — una característica legítima de Solana que permite que las transacciones sean pre-firmadas y ejecutadas más tarde sin que expiren.
A través de ingeniería social, dos de los cinco firmantes del multisig del Consejo de Seguridad de Drift fueron engañados para que pre-firmaran lo que parecían ser transacciones rutinarias. Esas firmas, combinadas con el exploit del durable nonce, le dieron al atacante control administrativo a nivel de protocolo. En solo 12 minutos, vaciaron las bóvedas principales de Drift — convirtiéndolo en el segundo exploit de Solana más grande de la historia, solo por detrás del hackeo del puente Wormhole de $ 326 millones.
Lo que sucedió después es donde la historia se vuelve condenatoria para Circle.
Seis horas, más de 100 transacciones, cero intervención
El atacante consolidó los activos robados — predominantemente USDC y SOL — y comenzó a enviarlos desde Solana a Ethereum utilizando el propio CCTP de Circle. Durante aproximadamente seis horas y más de 100 transacciones individuales, $ 232 millones en USDC se movieron a través de la infraestructura de Circle.
Esta no fue una operación de medianoche en alguna zona horaria oscura. La actividad de puenteo ocurrió durante el horario laboral de EE. UU., cuando los equipos de cumplimiento y operaciones de Circle presumiblemente estaban en sus escritorios. El investigador de blockchain ZachXBT rompió el silencio primero: "Circle estaba dormido mientras muchos millones de USDC se intercambiaban a través de CCTP de Solana a Ethereum durante horas por el hackeo de 9 cifras de Drift durante el horario de EE. UU.".
¿La respuesta de Circle? La empresa dijo que congela activos solo cuando es "legalmente requerido" — en respuesta a designaciones de sanciones, órdenes de las fuerzas del orden o mandatos judiciales. Sin una directiva legal formal, sostuvo Circle, no podía congelar los fondos de forma unilateral.
El problema de la aplicación selectiva
El argumento legal de Circle podría haberse mantenido — si no fuera por lo que sucedió nueve días antes.
El 23 de marzo de 2026, Circle congeló saldos de USDC en 16 billeteras vinculadas a un caso civil sellado en EE. UU. Cinco de esas billeteras fueron descongeladas más tarde después de que la comunidad señalara que pertenecían a negocios legítimos. ZachXBT calificó la congelación del 23 de marzo como "potencialmente la acción más incompetente" que había presenciado en cinco años de investigaciones on-chain.
La yuxtaposición es marcada: Circle se movió rápidamente para congelar cuentas en una demanda civil — interrumpiendo potencialmente a negocios inocentes — pero se mantuvo inactivo mientras cientos de millones en ganancias de hackeos fluían a través de su propio puente en tiempo real. La conclusión de la comunidad fue condenatoria: Circle congela cuando los abogados lo piden, no cuando los usuarios son robados.
El 3 de abril, ZachXBT escaló aún más, publicando lo que llamó los "Circle USDC Files" — un hilo detallado alegando más de $ 420 millones en fallos de cumplimiento en al menos quince casos que se remontan a 2022. En cada caso, argumentó, Circle tenía la capacidad técnica para intervenir pero decidió no hacerlo.
La brecha de $ 3.3 mil millones: Cómo difiere el enfoque de Tether
La inacción de Circle parece aún más evidente cuando se compara con su rival, Tether. Entre 2023 y 2025, Tether congeló 109 millones que Circle congeló en solo 372 direcciones durante el mismo período, según un informe de AMLBot.
La postura más agresiva de Tether se extiende más allá de la simple congelación. La empresa tiene la capacidad de quemar tokens congelados y reemitir otros de reemplazo, devolviendo efectivamente los fondos robados a las víctimas o a las fuerzas del orden. Más de 2,800 de las direcciones bloqueadas de Tether fueron coordinadas directamente con agencias de EE. UU.
La diferencia filosófica es clara. Tether, históricamente domiciliada en las Islas Vírgenes Británicas (BVI) y ahora con sede en El Salvador, opera con una postura más intervencionista — congela primero, navega por los matices legales después. Circle, una entidad regulada en EE. UU. que se prepara para su tan esperada salida a bolsa (IPO), adopta un enfoque estrictamente legalista: sin orden judicial, no hay congelación.
Pero el hackeo de Drift expuso la falla fatal en el marco de Circle. Cuando el hackeo más grande de 2026 se desarrolla en tu propio puente durante el horario laboral y tu respuesta es efectivamente "no es nuestro problema", el mercado comienza a cuestionar si la marca orientada al cumplimiento es en realidad una excusa para evitar el cumplimiento.
El trilema imposible: cumplimiento, velocidad y descentralización
La controversia entre Drift y Circle revela un problema estructural más profundo para toda la industria de las stablecoins: lo que podría llamarse el "trilema de congelación de stablecoins".
Congelar de forma demasiado agresiva, y se aliena a los usuarios de DeFi y se corre el riesgo de congelar cuentas inocentes (como demostró Circle el 23 de marzo). También se invita a la responsabilidad legal por actuar sin la autorización debida.
Congelar demasiado lento (o no hacerlo en absoluto), y cientos de millones fluyen hacia hackers patrocinados por estados. Se pierde credibilidad como infraestructura financiera crítica.
Eliminar por completo la capacidad de congelación, y no se puede cumplir con las regulaciones — y se pueden permitir resultados aún peores.
David Schwartz, CTO emérito de Ripple, opinó sobre esta misma tensión tras el hackeo de Drift. Respondiendo a la predicción del profesor de la Columbia Business School, Omid Malekan, de que una stablecoin "sin congelación" surgiría como un diferenciador competitivo, Schwartz argumentó que es fundamentalmente imposible: "El objetivo principal de una stablecoin es que representa una obligación legal del emisor de canjearla por fiat. Una orden judicial disuelve esa obligación legal". Si algunas stablecoins en circulación ya no representan obligaciones canjeables, el token completo se convierte en una reserva fraccionaria, socavando la estabilidad misma que lo define.
El ajuste de cuentas regulatorio
El momento del hackeo de Drift no podría ser peor — ni más revelador — para la agenda regulatoria de las stablecoins.
La Ley GENIUS, ahora convertida en ley, exige explícitamente que los emisores de stablecoins mantengan la capacidad técnica para congelar tokens cuando sea legalmente requerido. Pero "legalmente requerido" es precisamente la zona gris que Circle está explotando. La ley obliga a tener la capacidad de congelación; no obliga a una respuesta en tiempo real ante hackeos activos en ausencia de una orden judicial.
Mientras tanto, el Grupo de Acción Financiera Internacional (GAFI / FATF) está impulsando un modelo más proactivo. Su informe específico de marzo de 2026 alienta a los emisores y a los Proveedores de Servicios de Activos Virtuales (VASP) a monitorear todo el ciclo de vida de las stablecoins — incluidas las transacciones peer-to-peer — y a automatizar el análisis "multi-hop" que puede bloquear direcciones sancionadas y de alto riesgo para que no realicen transacciones en tiempo real.
El contraste con las finanzas tradicionales es instructivo. Bajo la Regulación E, los bancos de EE. UU. deben proporcionar crédito provisional a las víctimas de fraude dentro de los 10 días hábiles. El sistema bancario tiene expectativas de tiempo de respuesta claras y exigibles. El mercado de stablecoins — que ahora vale más de $ 308 mil millones — no tiene ninguna.
Si la posición legal de Circle es que no puede congelar fondos robados sin una orden judicial, entonces la industria necesita un mecanismo para obtener órdenes de emergencia en horas, no en semanas. Si la posición real de Circle es que elige no congelar sin una orden judicial — mientras conserva la discreción de congelar en casos civiles — entonces el problema de la aplicación selectiva es una crisis de gobernanza, no legal.
Qué viene después
El hackeo de Drift y la falta de respuesta de Circle probablemente acelerarán varias tendencias que ya están en marcha:
-
Protocolos de congelación automatizados: Firmas de monitoreo on-chain como Elliptic, TRM Labs y Chainalysis ya rastrean fondos robados en tiempo real. El eslabón perdido es un mecanismo de congelación basado en contratos inteligentes y preautorizado que pueda ser activado por la detección verificada de un hackeo, de manera similar a cómo las redes de tarjetas de crédito marcan automáticamente las transacciones sospechosas.
-
SLA de stablecoins: Así como los bancos tienen tiempos de respuesta exigidos legalmente para el fraude, los emisores de stablecoins pueden enfrentar requisitos regulatorios para compromisos de tiempo de respuesta, especialmente cuando los fondos se mueven a través de su propia infraestructura patentada como CCTP.
-
Presión competitiva sobre los emisores: La ventaja de congelación de 30 veces de Tether sobre Circle es ahora un punto de marketing, no solo una métrica de cumplimiento. Nuevos participantes como RLUSD de Ripple están diseñando explícitamente mecanismos de congelación para cumplir con la Ley GENIUS desde el primer día.
-
Mejoras de seguridad en DeFi: El propio exploit de Drift — mediante ingeniería social a los firmantes de un multisig para que pre-firmaran transacciones de "nonce" duraderas — obligará a los protocolos a replantearse la gestión de claves administrativas. La ejecución con bloqueo de tiempo (time-lock), los módulos de seguridad de hardware (HSM) y la verificación independiente de las transacciones multisig probablemente se conviertan en el estándar.
El mercado de stablecoins de $ 308 mil millones se encuentra en el centro de las ambiciones institucionales de las criptomonedas. Cada banco importante, gestor de activos y empresa de tecnología financiera que explora la infraestructura blockchain depende de la suposición de que las stablecoins son confiables — no solo en su paridad, sino en el marco de gobernanza que las rodea.
Circle tuvo seis horas para demostrar que USDC es una infraestructura financiera crítica digna de la confianza institucional que busca. En cambio, demostró que cuando se desarrolló el mayor hackeo de 2026 en sus propios rieles, la respuesta fue el silencio.
El mercado no olvidará eso.
Construir sobre infraestructura blockchain requiere socios en los que se pueda confiar para rendir cuando más importa. BlockEden.xyz proporciona servicios de RPC y API de nivel empresarial en más de 20 cadenas — diseñados con la confiabilidad y transparencia que exigen las aplicaciones de misión crítica.