米ドル連動型ステーブルコインUSDCを発行するサークルが、4月1日に起きたドリフト・プロトコルの流出事件で盗まれた約2億3000万ドル相当のUSDCを凍結しなかったとして、米マサチューセッツ州連邦地裁で集団訴訟を起こされました。
大規模ハッキングの場面で、ステーブルコイン発行体がどこまで即座に介入すべきかを問う案件です。ドリフトが再稼働時の決済資産をUSDCからUSDTへ切り替える判断にも影響しています。
提訴したのはドリフト投資家のジョシュア・マッコラム氏で、100人超の投資家を代表し、サークル・インターネット・ファイナンシャルとサークル・インターネット・グループを被告に据えました。訴状では、ソラナ(高速処理型ブロックチェーン)上のドリフトが約2億9570万ドル相当の被害を受けた後、攻撃者がCCTP(チェーン間でUSDCを移す仕組み)を使ってソラナからイーサリアムへ6時間超にわたり100件以上の取引で資金を移したにもかかわらず、サークルが凍結措置を取らなかったと主張しています。請求原因には、不法取得の幇助と過失が盛り込まれました。
ドリフトは被害発生後に入出金を停止しました。攻撃は北朝鮮系ハッカー集団ラザルスに結び付けられており、侵入の起点には約6カ月に及ぶソーシャルエンジニアリングがあったとされています。
訴訟側が問題視しているのは、サークルが技術的に動けたのではないかという点です。訴状は、サークルがその約1週間前、封印下の民事事件で16のUSDCウォレットを凍結していた事実を挙げ、今回も介入できたと指摘しています。オンチェーン調査で知られるザックXBTも、米国の営業時間中に2億3000万ドル超が6時間かけて移動したとして、「米国の営業時間中に2億3000万ドル超が6時間かけて移動したとして、対応しないのは弁解できない」と批判しました。
サークル側は、独自判断での凍結は行わない立場を崩していません。最高戦略責任者のダンテ・ディスパルテ氏は4月10日に公開したブログで、「サークルがUSDCを凍結するのは、誰かの資産を一方的、恣意的に取り上げると決めたからではない。法律が行動を求めるからだ」と記しました。司法当局や法執行機関の要請、裁判所命令といった法的根拠がないまま発行体が凍結に踏み切れば、別の法的リスクを負うというのが同社の説明です。
ハッキング直後の数時間で資金移動を止められなければ、被害回収の難易度は一気に上がります。一方で、サークルは「法に基づく凍結」を強調しており、発行体がハッキング被害への初動をどこまで担うべきかが法廷で問われることになります。
