← Retour 🔴 hack

Circle a laissé filer 420M$ de fonds volés sans lever le petit doigt

ZachXBT accuse Circle d'avoir échoué à geler ou blacklister plus de 420 millions de dollars de flux illicites depuis 2022. L'émetteur de l'USDC aurait ignoré des demandes de gel dans au moins 15 affaires de hacks et fraudes, y compris des fonds liés à la Corée du Nord.
📅 vendredi 3 avril 2026 ⏱ 3 min de lecture
Circle a laissé filer 420M$ de fonds volés sans lever le petit doigt

Le détective onchain ZachXBT vient de lâcher une bombe. Circle, l'émetteur du stablecoin USDC, aurait laissé passer environ 420 millions de dollars de fonds illicites sans les geler ni blacklister les wallets concernés. Et ce, depuis 2022.

Le constat est brutal. Sur 15 affaires distinctes de hacks et de fraudes, Circle aurait soit pris des mesures "minimales", soit n'aurait tout simplement rien fait. Parmi les cas cités, on retrouve des fonds liés à des hackers affiliés au régime nord-coréen. Oui, la Corée du Nord. Celle qui finance son programme nucléaire avec du crypto volé.

Les exemples concrets s'accumulent. Le hack de GMX en juillet 2025 : 9 millions de dollars en USDC non gelés. Le hack de Cetus DEX en mai 2025 : les wallets n'ont été blacklistés qu'après que les 200 millions de dollars en USDC avaient déjà été convertis en ETH. Trop peu, trop tard.

Mais le cas le plus accablant reste celui du hack de Drift Protocol, survenu cette semaine. 232 millions de dollars de flux illicites. Les attaquants ont converti leurs USDC en ETH via plus de 100 transactions distinctes sur une fenêtre de six heures. Six heures pendant lesquelles Circle aurait pu agir. Circle n'a rien fait.

ZachXBT prend soin de préciser qu'il ne cherche pas à couler Circle. Il détient lui-même de l'USDC et reconnaît que l'entreprise développe de bons produits. Mais il enfonce le clou : cette inaction a eu "des conséquences réelles pour des personnes réelles". Des centaines de millions évaporés de l'écosystème à cause d'un manque de réactivité systématique face aux demandes des forces de l'ordre et du secteur privé. Et les 420 millions ne couvrent que les affaires publiques majeures. Le chiffre réel serait "significativement plus élevé".

Circle, contacté par la presse, n'a pas répondu dans l'immédiat.

L'affaire relance un débat qui agite la communauté crypto : quel est le rôle exact des émetteurs centralisés de stablecoins ? Circle a la capacité technique de geler des fonds et de blacklister des adresses. L'entreprise l'a d'ailleurs déjà fait, notamment en 2022, en gelant des USDC liés à des adresses Tornado Cash sanctionnées par l'OFAC. Le pouvoir existe. La question, c'est pourquoi il n'est pas utilisé quand il le faudrait.

Petit détail qui ne manque pas de sel : en septembre 2025, le président de Circle, Heath Tarbert, a annoncé que la société explorait des transactions USDC "réversibles", capables d'être annulées en cas de hack, vol ou fraude. On explore des solutions futuristes alors que les outils basiques de gel déjà disponibles ne sont même pas utilisés correctement.

Circle se positionne comme un acteur responsable, régulé, proche des institutions. L'entreprise vise une entrée en bourse et cultive son image de bon élève de la crypto. Mais quand un détective indépendant sur Twitter fait un meilleur travail de traçage que votre département compliance, il y a un problème.

Ce que ça change : Circle ne peut plus jouer sur les deux tableaux. Soit l'USDC est un stablecoin centralisé avec un émetteur qui assume ses responsabilités et gèle les fonds volés rapidement, soit c'est un outil passif qui profite aux hackers autant qu'aux utilisateurs légitimes. À 420 millions de dollars d'inaction, la question n'est plus technique, elle est politique. Et elle pourrait coûter très cher à Circle en crédibilité, surtout à l'approche de son IPO.