온체인 분석가 자크엑스비티(ZachXBT)가 서클(Circle)이라는 스테이블코인 USDC의 발행사가 자금 동결 권한을 제대로 행사하지 않았다는 의혹을 제기하며, 이로 인해 누적된 피해가 무려 4억2000만 달러에 달한다고 주장했다.

자크엑스비티는 X(구 트위터)를 통해 발표한 ‘더 서클 USDC 파일(The Circle USDC Files)’에서 서클이 기술적 및 법적 권한을 보유하고 있음에도 불구하고 이를 일관되게 활용하지 않았다며 여러 해킹 사건에서 자금 동결을 지체하고 있다고 지적했다. USDC의 토큰 계약에는 특정 주소를 차단하거나 블랙리스트에 추가할 수 있는 기능이 내장되어 있으며, 서비스 약관에도 의심되는 불법 활동에 대해 ‘단독 재량’으로 제한할 수 있다는 조항이 포함되어 있다.

하지만 분석 결과에 따르면, 서클은 여러 해킹 사건에서 자금을 동결하지 못하거나 그 대응이 지연되는 바람에 공격자들이 탈취한 자금을 다른 자산으로 전환할 수 있는 시간을 허용하게 됐다. 대표적인 사례로 2026년 4월 1일 발생한 드리프트 프로토콜(Drift Protocol) 해킹 사건이 언급되는데, 당시 약 2억8000만 달러(약 4228억 원)가 탈취됐으며, 해커는 2억3200만 달러 규모의 USDC를 크로스체인을 이용해 이더리움(ETH)으로 여러 번 전송했다. 이 과정에서 서클의 크로스체인 전송 프로토콜(CCTP)이 사용됐지만, 자금 세탁이 수시간 동안 진행되는 동안 서클은 단 한 건의 동결 조치도 실행하지 않았다는 주장이 제기됐다.

또한 2026년 1월 25일 발생한 스왑넷(SwapNet) 해킹 사례도 덧붙여졌다. 약 1600만 달러(241억 원)가 탈취됐고 이 중 300만 달러 규모의 USDC는 해커 지갑에 이틀간 그대로 남아 있었지만, 법 집행 기관과 민간 분석가들이 동결 요청을 했음에도 서클은 아무런 조치를 취하지 않았다고 보고서는 전했다.

이 외에도 자크엑스비티는 북한과 연계된 해킹 조직인 '라자루스 그룹'의 자금 세탁 흐름을 추적한 결과를 바탕으로, 수사 당국이 서클을 포함한 주요 스테이블코인 발행사에 특정 주소 동결을 요청했지만, 서클은 4.5개월간 지연된 사실도 언급했다. 이로 인해 수억 달러의 피해가 누적되었다고 분석하며, 4억2000만 달러라는 수치는 공개된 주요 사건만 반영된 것이므로, 실제 피해 규모는 더 클 가능성이 높다고 경고했다.

자크엑스비티는 “서클은 모든 기술적 도구와 자원을 보유하고 있으며 이를 충분히 활용하지 않았다”며 “과연 이들은 누구를 위해 운영되고 있는가”라는 의문을 제기하였다. 이 논란은 스테이블코인 발행사의 중앙화된 통제 권한과 책임의 범위에 관한 논의를 다시 불러일으키고 있으며, 시장에서는 규제가 강화됨에 따라 발행사의 실질적인 대응 체계에 대한 검증 요구가 상승할 것으로 예상된다.

결론적으로, 이번 사건은 서클의 USDC가 당초 기대한 만큼의 안전성을 제공하지 않음을 부각시키며, 스테이블코인 발행사의 리스크 관리 능력에 대한 경각심을 일깨우고 있다. 다양한 디파이 플랫폼에서 스테이블코인을 이용하는 투자자들은 이러한 리스크를 반드시 고려해야 할 것이다.