著名なオンチェーン分析家ZachXBT氏は3日、米ステーブルコイン発行大手サークル社に関する調査レポートを公開した。同社が過去3年間にわたり不正資金の凍結措置を怠り、結果として4億2,000万ドル(約670億円)以上の資金流出を防げなかったと指摘している。
規制遵守の優等生とされた米サークル社の裏側、未公表事案含め被害総額はさらに膨らむ恐れ
サークル社は米国の金融規制の下、米ドルと価値が連動するステーブルコイン「USDC
USDC」を発行している。同社は利用規約において、不正利用が疑われるアカウントの資金を凍結する権限を持つと明記している。しかしレポートによれば、この権限が適切に行使されていないという。
直近の事例として、今月1日に発生した「ドリフト・プロトコル」での約2億8,000万ドル(約446億円)に上るハッキング事件が挙げられている。この事件で攻撃者は、サークル社が提供するCCTP機能を利用し、6時間かけて不正資金の移動を行った。しかし、この間に不正なUSDCが凍結されることはなかった。
関連:ソラナ基盤DEXドリフト、ハッキング被害──DRIFTトークンは一時0.04ドルを割り込む
競合他社との顕著な対応の差
他社の対応との顕著な違いも浮き彫りになっている。法執行機関から資金凍結要請が出された複数の事件において、競合のテザー社
USDTなどが数時間以内に迅速に対応したのに対し、サークル社は対応までに数カ月を要したり、全く対応しなかった事例があるという。
報告された対応遅れの事例は、2022年以降で15件に上る。被害に遭った運営チームや法執行機関などから再三の凍結要請があったにもかかわらず、資金が数時間から長ければ1カ月以上にわたり犯人のアドレスに放置されていたケースが多く確認されている。
北朝鮮ハッカーへの影響と被害の実態
北朝鮮のハッカー集団「ラザルス」が関与したとされる複数の大規模な不正流出事件においても、対応の遅延が指摘された。この遅れにより、北朝鮮が奪ったUSDCを別の暗号資産に交換し、追跡を困難にする資金洗浄を完了させる猶予を与えてしまった形となっている。
関連:北朝鮮ハッカーの仮想通貨盗難額が過去最悪の3,143億円──巧妙化する手口
ZachXBT氏は、自身もUSDCを保有しており同社のプロダクト自体は評価していると前置きしている。その上で、規制を遵守する米国企業として、保有するインフラや権限を適切に活用し、暗号資産エコシステム全体の被害拡大を防ぐ責任があると強調した。
さらに同氏は、今回提示した約4億2,000万ドルという被害額は、広く知られている大規模な事件のみを集計したものに過ぎないと念を押している。未公表の事案を含めれば、対応遅延による実際の被害総額はさらに巨額に上る可能性が高いというのが同氏の推測だ。
今回の事態は、ステーブルコイン発行企業によるコンプライアンス体制の実効性に疑問を投げかけるものだ。暗号資産の普及には規制準拠が不可欠だが、発行元が権限を迅速に行使しなければ被害救済は困難になる。今後は業界全体で迅速な不正対応メカニズムの構築が急務となるだろう。
