Por Canuto  

El hackeo a Drift por USD $285 millones no solo golpeó al protocolo, sino que también puso a Circle en el centro de la controversia. La discusión ya no gira únicamente en torno al atacante, sino sobre si la emisora de USDC pudo actuar con mayor rapidez para congelar fondos robados sin violar límites legales.
***

  • El atacante sustrajo cerca de USD $71 millones en USDC y luego movilizó alrededor de USD $232 millones desde Solana hacia Ethereum mediante CCTP.
  • ZachXBT y otros críticos sostienen que Circle pudo haber reaccionado más rápido para bloquear direcciones vinculadas al exploit.
  • Expertos legales advierten que congelar activos sin orden judicial o requerimiento formal puede exponer a Circle a responsabilidad civil.

 

El hackeo contra el protocolo Drift por USD $285 millones abrió un nuevo frente de debate en la industria cripto. Esta vez, el foco no se limita al atacante ni a las fallas del protocolo, sino que alcanza a Circle, empresa emisora de USDC, por su aparente falta de acción inmediata para congelar parte de los fondos robados.

De acuerdo con la cobertura de CoinDesk, el incidente escaló rápidamente cuando el responsable del exploit utilizó infraestructura de Circle para mover una porción considerable del botín entre redes. Ese paso complicó los esfuerzos de rastreo y recuperación, y provocó cuestionamientos sobre el verdadero margen de maniobra que tienen los emisores regulados de stablecoins en situaciones de emergencia.

La discusión es especialmente relevante porque USDC ocupa un papel central en pagos, trading y transferencias entre cadenas. A medida que las stablecoins ganan peso en el sistema financiero digital, también aumenta la presión sobre sus emisores para responder en tiempo real frente a hackeos, fraudes y movimientos vinculados a actividades ilícitas.

En este caso, la controversia surge de una pregunta incómoda para el sector: ¿debía Circle congelar los fondos antes de recibir una orden legal formal, o hacerlo habría implicado un exceso con potenciales consecuencias judiciales?

Cómo se movieron los fondos tras el ataque

Según la firma de seguridad PeckShield, el atacante sustrajo aproximadamente USD $71 millones en USDC como parte del exploit ejecutado el miércoles. Sin embargo, esa no fue la cifra total en stablecoins involucrada en el episodio, ya que luego convirtió buena parte del resto de los activos robados a USDC.

Después de esa conversión, el hacker utilizó el Cross-Chain Transfer Protocol, conocido como CCTP, de Circle para transferir cerca de USD $232 millones en USDC desde Solana hacia Ethereum. Ese movimiento fue clave, porque trasladó una masa importante de fondos a otra red y elevó la complejidad de cualquier intento de contención.

Para lectores menos familiarizados con esta infraestructura, CCTP es una herramienta diseñada para facilitar el movimiento nativo de USDC entre distintas blockchains. En condiciones normales, ese tipo de interoperabilidad mejora la eficiencia del ecosistema, pero en un incidente de seguridad también puede acelerar la dispersión de activos comprometidos.

La velocidad con la que se ejecutó esa transferencia alimentó la crítica de quienes creen que Circle pudo haber reaccionado antes. En hackeos de este tipo, la ventana de acción suele medirse en minutos, no en días, lo que hace que cada decisión operativa tenga un peso decisivo.

Las críticas contra Circle y la postura de ZachXBT

Uno de los cuestionamientos más visibles provino del investigador blockchain ZachXBT, una de las voces más seguidas por la comunidad cripto en casos de exploits y rastreo de fondos. Tras el ataque, sostuvo en una publicación en X que resulta difícil justificar que empresas del ecosistema sigan construyendo sobre Circle si un proyecto con valor total bloqueado de nueve cifras no pudo obtener apoyo durante un incidente de gran magnitud.

La crítica apunta a una capacidad que Circle reconoce en sus propios términos de servicio: la posibilidad de incluir direcciones en listas negras y congelar USDC vinculado a actividad sospechosa. Para algunos actores del sector, esa facultad pudo haberse usado de forma preventiva para frenar o al menos ralentizar el desplazamiento del dinero.

El fundador de una firma de infraestructura de stablecoins dijo a CoinDesk que una congelación preventiva de las billeteras asociadas al exploit habría podido limitar el margen de maniobra del atacante. No obstante, esa misma fuente también advirtió que actuar sin orden judicial o sin requerimiento de las fuerzas del orden podía exponer a Circle a riesgos legales importantes.

Ese matiz es central para entender el conflicto. La discusión no es solo técnica, sino también institucional. En la práctica, un emisor regulado de stablecoins opera bajo expectativas contradictorias: actuar con rapidez para contener un daño y, al mismo tiempo, respetar el debido proceso y evitar decisiones discrecionales que luego puedan ser cuestionadas ante tribunales.

El dilema legal de congelar fondos sin autorización

Salman Banei, asesor jurídico general de la red de activos tokenizados Plume, sostuvo que congelar activos sin autorización formal podría exponer a los emisores a responsabilidad si esa intervención se ejecuta de forma errónea. A su juicio, existe un vacío regulatorio que los legisladores deberían atender de forma más clara.

Banei planteó que las leyes deberían ofrecer una suerte de puerto seguro frente a la responsabilidad civil cuando un emisor de activos digitales congele fondos y tenga una base sólida para creer que se produjeron transferencias ilícitas. Esa idea refleja una preocupación creciente en el mercado: las herramientas existen, pero el marco legal no siempre ofrece una ruta clara para utilizarlas.

Circle respondió en esa línea. Un portavoz de la compañía indicó por correo electrónico que la empresa es una entidad regulada que cumple con sanciones, órdenes de las fuerzas del orden y requerimientos judiciales. Añadió que congela activos cuando está legalmente obligada a hacerlo, en coherencia con el estado de derecho y con fuertes protecciones para los derechos y la privacidad de los usuarios.

Esa postura busca mostrar consistencia regulatoria, pero no elimina las dudas del mercado. Para muchos participantes del ecosistema, la pregunta sigue siendo si el cumplimiento estricto de la ley es suficiente en un entorno donde los activos pueden cruzar múltiples cadenas en cuestión de minutos.

Stablecoins, control y una creciente zona gris

El caso de Drift también reaviva una tensión más profunda dentro del mercado de stablecoins. Tokens como USDC se promocionan como infraestructura eficiente para pagos transfronterizos, liquidaciones y trading. Sin embargo, esa misma infraestructura puede ser aprovechada por actores ilícitos cuando se produce un exploit o una operación de lavado.

Según TRM Labs, alrededor de USD $141.000 millones en transacciones con stablecoins durante 2025 estuvieron vinculadas a actividades ilícitas, entre ellas evasión de sanciones y lavado de dinero. Esa cifra ayuda a explicar por qué la presión regulatoria y reputacional sobre los emisores centralizados sigue en aumento.

Firmas de seguridad blockchain apuntaron a hackers norcoreanos como probables responsables del exploit contra Drift. Aunque esa atribución no cambia por sí sola la obligación legal de Circle, sí aumenta la sensibilidad del caso, dado el historial de grupos vinculados a Corea del Norte en ataques contra plataformas cripto y en el uso de activos digitales para mover fondos fuera del alcance de sanciones.

Las stablecoins emitidas por entidades centralizadas tienen una característica particular: son programables y controlables. Esa capacidad puede ser útil para detener flujos ilícitos, pero también genera inquietudes sobre censura, extralimitación y falta de neutralidad. En otras palabras, la misma herramienta que puede proteger al ecosistema también puede convertirse en una fuente de incertidumbre para usuarios e instituciones.

Un exploit difícil de clasificar y el problema de la consistencia

Ben Levit, fundador y CEO de la agencia de calificación de stablecoins Bluechip, considera que parte del debate se está planteando de forma demasiado simple. A su juicio, no se trata solo de afirmar que Circle debió congelar los fondos, porque el incidente no encaja del todo en la categoría de un hackeo limpio y evidente.

Levit señaló que el episodio se pareció más a un exploit de mercado u oráculo, lo que lo ubica en una zona gris. Bajo esa lectura, cualquier intervención de Circle habría implicado una decisión de criterio, no únicamente una determinación de cumplimiento normativo.

Para él, el problema de fondo es la consistencia. USDC no puede presentarse como infraestructura neutral y, al mismo tiempo, permitir intervenciones discrecionales sin reglas claras. Los mercados, dijo, pueden adaptarse a políticas estrictas o a la ausencia de intervención, pero la ambigüedad es mucho más difícil de valorar.

Ese punto resume buena parte del dilema que deja el caso Drift. Si un emisor se mueve demasiado lento, puede ser acusado de facilitar el accionar de malos actores. Si se mueve demasiado rápido, puede ser acusado de exceder su autoridad. En un mercado donde los fondos se desplazan en minutos, esa tensión ya no es teórica, sino una prueba operativa para toda la industria cripto.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados