Nhà phân tích on-chain cáo buộc Circle xử lý kém cơ chế đóng băng USDC, gây thất thoát 4,2 tỷ USD

Theo CoinDesk đưa tin ngày 4 tháng 4 năm 2026 (giờ địa phương), nhà phân tích on-chain 자크엑스비티 (ZachXBT) cáo buộc **“USDC”**, **“Circle”** xử lý kém hiệu quả chức năng đóng băng tài sản, khiến thiệt hại tích lũy trong nhiều năm lên tới khoảng **4,2 tỷ USD** (khoảng 6.342 tỷ đồng). Báo cáo mới của anh cho rằng phần lớn khoản thất thoát này bắt nguồn từ việc Circle không kịp thời chặn dòng tiền trong các vụ hack DeFi lớn, dù nắm đầy đủ công cụ kỹ thuật và cơ sở pháp lý để làm điều đó.

Theo báo cáo, trọng tâm tranh cãi nằm ở cách **Circle** đã sử dụng – hoặc không sử dụng – quyền kiểm soát với **USDC** trong nhiều tình huống khẩn cấp. Nhiều vụ tấn công được ghi nhận sau năm 2022 cho thấy tính năng “đóng băng” địa chỉ ví không được kích hoạt đúng lúc, tạo điều kiện để kẻ tấn công rửa tiền qua nhiều chuỗi và đổi sang tài sản khác.

Trong tài liệu mang tên “The Circle USDC Files” được 자크엑스비티 công bố trên mạng xã hội X, anh nhấn mạnh rằng **USDC** được thiết kế với khả năng đưa địa chỉ ví vào danh sách đen hoặc phong tỏa token ngay ở cấp hợp đồng thông minh. Điều khoản dịch vụ của **Circle** cũng ghi rõ họ có quyền tự quyết trong việc hạn chế giao dịch khi phát hiện dấu hiệu phạm pháp hoặc đáng ngờ.

Tuy nhiên, theo mô tả trong báo cáo, ở nhiều vụ hack lớn, **Circle** hoặc không ngăn chặn kịp thời, hoặc phản ứng quá chậm, để mặc dòng tiền di chuyển xuyên chuỗi. Trong khoảng thời gian chờ đợi, phần lớn tài sản bị chiếm đoạt đã được chuyển đổi qua cross-chain và hoán đổi sang coin khác, làm giảm đáng kể khả năng thu hồi.

Một ví dụ điển hình là vụ tấn công vào giao thức phái sinh Drift Protocol xảy ra ngày 1 tháng 4 năm 2026. Khi đó, khoảng 280 triệu USD (tương đương gần 4.228 tỷ đồng) bị rút cạn khỏi giao thức, trong đó riêng 232 triệu USD dưới dạng **USDC** đã được hacker chuyển từ Solana(SOL) sang Ethereum(ETH) hơn 100 lần giao dịch liên tiếp.

Điểm gây tranh cãi, theo báo cáo, là kẻ tấn công đã tận dụng chính giao thức chuyển tài sản xuyên chuỗi CCTP của **Circle** để dịch chuyển số **USDC** này giữa các mạng lưới. Dòng tiền bị cho là rửa liên tục trong nhiều giờ, nhưng không có bất kỳ giao dịch nào bị đóng băng. Hệ quả là hơn 10 dự án DeFi trong hệ sinh thái Solana chịu tác động dây chuyền, từ mất thanh khoản đến gián đoạn hoạt động.

Một trường hợp khác được nhắc đến là vụ hack sàn phi tập trung SwapNet ngày 25 tháng 1 năm 2026, với thiệt hại khoảng 16 triệu USD (khoảng 241 tỷ đồng). Trong số đó, khoảng 3 triệu USD **USDC** bị giữ nguyên trong ví hacker suốt hai ngày. Dù các đơn vị phân tích tư nhân và cơ quan thực thi pháp luật được cho là đã gửi yêu cầu phong tỏa địa chỉ, **Circle** vẫn không thực hiện đóng băng, theo ghi nhận trong báo cáo của 자크엑스비티.

Bên cạnh các vụ việc đơn lẻ, báo cáo còn chỉ ra vấn đề mang tính hệ thống trong cách **Circle** tương tác với cơ quan chức năng, đặc biệt ở những vụ việc liên quan tới tổ chức bị trừng phạt. 자크엑스비티 nhắc lại một cuộc điều tra anh công bố tháng 4 năm 2024, theo đó anh đã truy vết hoạt động rửa tiền của nhóm hacker Bắc Triều Tiên “Lazarus Group”. Khi đó, hơn 20 vụ hack được xác định đã chuyển đổi tài sản mã hóa sang tiền pháp định.

Trong quá trình điều tra, cơ quan chức năng được cho là đã gửi yêu cầu đóng băng một số địa chỉ ví tới bốn tổ chức phát hành stablecoin lớn, bao gồm **Circle**. Ba đơn vị còn lại – được mô tả là các nhà phát hành stablecoin khác như Tether, Paxos, Techterics – được báo cáo là phản hồi nhanh chóng và phong tỏa địa chỉ chỉ sau thời gian ngắn. Riêng **Circle** bị cáo buộc mất thêm khoảng 4,5 tháng mới áp dụng biện pháp tương tự cho cùng những địa chỉ đó.

Báo cáo của 자크엑스비티 ước tính các trường hợp xử lý chậm trễ như vậy, khi cộng dồn, đã tạo ra mức thiệt hại ở quy mô “chín chữ số”, tương đương hàng trăm triệu hoặc hàng tỷ USD. Con số 4,2 tỷ USD mà anh nêu ra chỉ tính các vụ việc lớn được công khai; tổng thiệt hại thực tế có khả năng cao hơn, do nhiều vụ tấn công DeFi nhỏ lẻ ít được truyền thông chú ý.

자크엑스비티 nhận định rằng **Circle** “sở hữu đầy đủ công cụ kỹ thuật, cơ chế quản trị và nguồn lực pháp lý để can thiệp”, nhưng lại “không sử dụng chúng một cách nhất quán và hiệu quả”. Anh đặt câu hỏi: liệu **USDC** và **Circle** đang được vận hành “vì lợi ích của ai” khi mà các nạn nhân liên tục chịu thiệt hại trong lúc cơ chế kiểm soát tập trung hầu như không được kích hoạt đúng lúc.

*bình luận* Tranh luận quanh **USDC**, **Circle** và cách họ sử dụng quyền kiểm soát hợp đồng thông minh một lần nữa làm dấy lên câu hỏi cốt lõi về stablecoin: nếu quyền hạn tập trung được biện minh bằng lý do “bảo vệ người dùng” và “tuân thủ pháp lý”, thì ranh giới trách nhiệm của nhà phát hành nằm ở đâu khi đối mặt với các vụ hack và tội phạm mạng.

Trong bối cảnh stablecoin ngày càng đóng vai trò hạ tầng thanh khoản trọng yếu của thị trường, những cáo buộc về “phản ứng chậm” hay “bỏ lỡ cơ hội đóng băng tài sản” có thể trở thành chất xúc tác cho làn sóng siết chặt quy định. Nhiều chuyên gia dự báo cơ quan quản lý sẽ không chỉ quan tâm đến vốn bảo chứng của stablecoin, mà còn chú ý hơn tới quy trình vận hành, năng lực giám sát on-chain và cơ chế phối hợp với lực lượng chức năng của các đơn vị phát hành.

*bình luận* Với quy mô giao dịch liên quan đến **USDC** hiện lên tới hàng chục tỷ USD mỗi ngày, bất kỳ lỗ hổng nào trong quy trình phản ứng sự cố của **Circle** đều có thể chuyển hóa thành rủi ro hệ thống. Áp lực từ phía nhà đầu tư và nhà lập pháp buộc các đơn vị phát hành stablecoin phải chứng minh không chỉ năng lực kỹ thuật, mà cả trách nhiệm thực thi quyền lực tập trung mà họ đang nắm giữ.