자크엑스비티 “서클, USDC 동결 권한에도 대응 지연”…피해 4억2000만 달러 주장

온체인 분석가 자크엑스비티(ZachXBT)가 스테이블코인 ‘USDC’ 발행사 서클(Circle)의 대응 부실 의혹을 제기하며, 수년간 누적된 피해가 4억2000만 달러(약 6342억 원)에 달한다고 주장했다.

이번 보고서는 2022년 이후 주요 디파이 해킹 사건에서 서클이 자금 동결 기능을 적시에 활용하지 않았다는 점을 핵심 문제로 지목한다.

USDC 동결 기능에도 반복된 ‘대응 지연’

자크엑스비티는 X(구 트위터)를 통해 공개한 ‘더 서클 USDC 파일(The Circle USDC Files)’에서, 서클이 기술적·법적 권한을 갖고 있음에도 불구하고 이를 일관되게 행사하지 않았다고 주장했다.

USDC 토큰 계약에는 특정 주소를 동결하거나 블랙리스트에 올릴 수 있는 기능이 포함돼 있으며, 서비스 약관 역시 의심되는 불법 행위에 대해 ‘단독 재량’으로 제한할 수 있도록 명시하고 있다.

하지만 보고서에 따르면 다수의 해킹 사건에서 서클은 자금 이동을 막지 못하거나 대응이 지연됐고, 그 사이 탈취 자금은 크로스체인을 통해 다른 자산으로 전환됐다.

대표 사례로 2026년 4월 1일 발생한 드리프트 프로토콜(Drift Protocol) 해킹이 언급됐다. 당시 약 2억8000만 달러(약 4228억 원)가 탈취됐으며, 공격자는 2억3200만 달러 규모의 USDC를 솔라나(SOL)에서 이더리움(ETH)으로 100회 이상에 걸쳐 전송했다.

이 과정에서 서클의 크로스체인 전송 프로토콜(CCTP)이 사용됐지만, 자금 세탁이 수시간 진행되는 동안 단 한 건의 동결 조치도 이뤄지지 않았다는 것이 보고서의 주장이다. 해당 사건은 솔라나 생태계 내 10개 이상의 디파이 프로젝트에 연쇄적인 영향을 미쳤다.

또 다른 사례로 2026년 1월 25일 발생한 스왑넷(SwapNet) 해킹도 언급됐다. 약 1600만 달러(약 241억 원)가 탈취됐고, 이 중 300만 달러 규모 USDC가 해커 지갑에 이틀간 그대로 남아 있었지만, 법 집행 기관과 민간 분석가의 동결 요청에도 서클은 조치를 취하지 않았다고 보고서는 전했다.

라자루스 연루 자금 동결도 수개월 지연

보고서는 개별 사건을 넘어 구조적인 문제도 제기한다.

자크엑스비티는 2024년 4월 발표한 별도 조사에서 북한 연계 해킹 조직 ‘라자루스 그룹’의 자금 세탁 흐름을 추적한 바 있다. 당시 20건 이상의 해킹 자금이 법정화폐로 전환된 정황이 확인됐다.

이 과정에서 수사 당국은 서클을 포함한 주요 스테이블코인 발행사 4곳에 특정 주소 동결을 요청했다. 테더, 팍소스, 테크터릭스는 신속히 대응했지만, 서클은 동일 조치를 취하는 데 약 4.5개월이 더 소요된 것으로 나타났다.

보고서는 이러한 사례들이 누적되면서 ‘9자리 수’ 규모, 즉 수억 달러대 피해가 발생했다고 분석한다. 특히 4억2000만 달러라는 수치는 공개된 주요 사건만 반영한 것으로, 실제 규모는 더 클 가능성이 높다고 강조했다.

자크엑스비티는 “서클은 개입할 수 있는 모든 도구와 자원을 갖고 있지만, 이를 충분히 활용하지 않았다”며 “과연 누구를 위해 운영되고 있는가”라고 지적했다.

이번 논란은 스테이블코인 발행사의 ‘중앙화된 통제 권한’과 ‘책임 범위’를 둘러싼 논쟁을 다시 수면 위로 끌어올리고 있다. 시장에서는 규제 강화와 함께 발행사의 실질적 대응 체계에 대한 검증 요구가 더욱 커질 것으로 보인다.

기사요약 by TokenPost.ai

🔎 시장 해석

서클의 USDC 동결 기능이 있음에도 반복된 대응 지연이 발생하며, 스테이블코인 발행사의 책임과 중앙화 리스크가 다시 부각됨.

규제 친화 이미지를 가진 기업조차 실제 운영 대응이 부족할 수 있다는 점에서 시장 신뢰에 균열 가능성.

💡 전략 포인트

디파이 이용 시 스테이블코인 발행사의 리스크 관리 능력도 중요한 평가 요소.

해킹 발생 시 ‘동결 가능 자산’이라도 즉각 보호가 보장되지 않는다는 점 고려 필요.

중앙화 스테이블코인과 탈중앙 자산 간 리스크 분산 전략 중요.

📘 용어정리

USDC: 달러 가치에 연동된 대표 스테이블코인.

CCTP: 서로 다른 블록체인 간 USDC를 이동시키는 서클의 크로스체인 프로토콜.

라자루스 그룹: 북한 연계 해킹 조직으로 대형 암호화폐 탈취 사건에 자주 연루됨.

동결 기능: 특정 지갑 주소의 자산 이동을 제한하거나 차단하는 기능.

💡 자주 묻는 질문 (FAQ)

Q.

USDC는 안전한 스테이블코인 아닌가요?

USDC는 규제를 받는 회사인 서클이 발행해 비교적 신뢰도가 높은 스테이블코인이지만, 이번 사례처럼 해킹 대응 과정에서 즉각적인 자금 동결이 이뤄지지 않을 수 있다는 점이 한계로 지적됩니다.

Q.

자금 동결 기능이 있는데 왜 피해가 커졌나요?

보고서에 따르면 서클이 기술적으로 동결 권한을 갖고 있음에도 실제로는 대응이 지연되면서, 해커들이 자금을 다른 체인이나 자산으로 빠르게 이동시켜 회수가 어려워졌습니다.

Q.

투자자 입장에서 어떤 점을 주의해야 하나요?

스테이블코인이라도 발행사의 대응 속도와 정책에 따라 리스크가 달라질 수 있습니다. 따라서 특정 자산에 집중하기보다 여러 자산과 플랫폼으로 분산하는 것이 중요합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.