Introduction
In November 2025, a US court ordered Circle to freeze roughly $12.6 million of USDC held inside a smart contract operated by Zama, the fully homomorphic encryption project, as part of a civil suit brought by Overnight Finance. The detail that distinguishes this freeze from the dozens Circle executes each year is not the dollar figure. It is the address. The frozen balance sat in a contract Zama controlled but had not deposited — it was Compound-wrapped USDC (cUSDC) that originated, the plaintiff alleges, from funds Overnight claims were misappropriated and routed through a series of swaps and deposits before landing in a Zama-operated vault.
Zama is not a defendant. Compound is not a defendant. The cUSDC token holders whose redemption queue now passes through a partially frozen reserve are not defendants. And yet the freeze, executed at the USDC contract layer, reaches all of them. A court order targeting one party’s assets has temporarily impaired a composable position in a protocol that has no relationship with that party.
This is not a novel mechanism. Every centralized fiat-backed stablecoin — USDC, USDT, PYUSD, FDUSD — ships with an issuer-controlled blacklist. What is novel is the visibility of the second-order effect. When DeFi treats USDC as base money, an action that the blacklist treats as surgical becomes, in practice, indiscriminate. We use this incident to map the censorship surface area of stablecoin architecture, examine how that surface propagates through composable protocols, and ask what the freeze implies for the credible-neutrality assumptions that justify USDC’s position as DeFi’s de facto reserve asset.
The blacklist primitive in centralized stablecoins
USDC is an ERC-20 token whose logic includes two administrative functions inherited from a Blacklistable contract: blacklist(address) and unBlacklist(address). When the contract owner — Circle — calls blacklist on an address, every subsequent transfer involving that address reverts. Funds at the address cannot move out; funds sent to it cannot be received, and in practice the address is excluded from interaction with the token entirely. Circle additionally holds the ability, through a controlled upgrade path on the underlying proxy, to alter the contract’s behavior more broadly, but the day-to-day enforcement primitive is the blacklist.
USDT exposes a similar control surface through Tether’s addBlackList function and a separate destroyBlackFunds function that allows the issuer to burn balances at a blacklisted address outright. PYUSD, issued by Paxos, follows the same pattern with freeze and wipeFrozenAddress. The mechanisms differ in nomenclature; the substance is the same. Issuers retain the authority to deny any specific address the use of the token they issue.
The justification is straightforward and largely uncontroversial in regulated finance: an issuer subject to US sanctions law cannot allow OFAC-listed addresses to transact in its token. The same primitive is used to recover stolen funds at the request of victims, freeze assets named in court orders, and respond to law enforcement subpoenas. Circle publishes summary statistics on blacklisting actions; the figure is in the low thousands of addresses cumulatively, against tens of millions of holders.
For most of USDC’s history, this asymmetry between rare-events-at-the-margin and a clean experience for everyone else has been read as a workable compromise. The token is censorable in principle but, for ordinary holders, behaves as if it were not. The Zama incident sits at the boundary where the principle and the practice diverge.
Why the primitive lives at the token layer
There is a design alternative — one used by some permissioned tokens — in which compliance enforcement lives in a separate registry contract that transfer logic consults. The advantage of the registry pattern is composability: protocols that integrate the token can read the registry and make their own decisions about how to handle a flagged counterparty. The disadvantage is latency and disagreement; a registry that is not authoritative is not a compliance control.
USDC’s design embeds the blacklist directly in the transfer path. A blocked address cannot move tokens regardless of which contract initiates the transfer, because the check happens inside the token contract itself. This is the source of its censorship strength and also the source of the propagation problem. Once a balance is frozen, any contract that holds that balance — whether or not it is aware, whether or not it is a party to the dispute — finds its own accounting impaired.
Anatomy of the Zama freeze
The reported sequence, reconstructed from the public filings and Overnight Finance’s stated allegations, runs roughly as follows. Funds Overnight identifies as misappropriated were swapped into USDC, deposited into Compound v2 to mint cUSDC, and the resulting cUSDC was moved into a contract operated by Zama. Overnight filed suit and obtained a court order directing Circle to freeze the underlying USDC associated with the position. Circle complied. The freeze applied to the USDC balance held by the Compound cUSDC contract corresponding to the disputed deposit — or, more precisely, prevented USDC transfers in a way that locked the redemption path for the cUSDC holdings sitting in the Zama address.
The mechanical detail that matters: cUSDC is not a one-to-one wrapper. It is a pooled receipt token. When a user deposits USDC into Compound v2, the protocol mints cUSDC at the current exchange rate, and the deposited USDC enters a single pool that backs all cUSDC in circulation. When a user redeems, they burn cUSDC and receive USDC from the pool. The pool is fungible. There is no separate vault per depositor.
This means a freeze applied to the Compound cUSDC pool does not surgically isolate one depositor’s claim. It reduces the redeemable USDC available to every cUSDC holder. If $12.6 million of USDC in the pool is frozen, the pool’s effective reserve falls by that amount, and the cUSDC exchange rate — the ratio of pool USDC to outstanding cUSDC — is impaired for everyone holding the token.
In practice the freeze appears to have been scoped to the specific balance corresponding to the disputed deposit rather than collapsing the entire pool, and the precise enforcement mechanism Circle used remains a matter of public reporting rather than disclosed contract calls. But the architectural point holds: a freeze targeting one party’s economic interest, applied at the token layer of a pooled receipt-token system, cannot help but touch the pool.
The party-of-interest problem
Zama is the address-of-record holder of the cUSDC. The funds, as alleged, do not belong to Zama in any meaningful sense — the protocol is described in reporting as having ended up in the position by virtue of how its on-chain operations route. Compound, the protocol whose contract mints and burns the wrapper, is similarly not a party to the underlying dispute. Both are simply contracts that the disputed value passed through.
Traditional asset-freeze orders contemplate this scenario. A court can issue garnishment orders against banks holding a defendant’s funds, and the bank’s other depositors are unaffected because the bank’s books are segregated by accountholder. The DeFi analog does not exist by default. A pooled wrapper has no per-depositor accounting at the token layer. The court order, executed against the token, lands on the pool.
Propagation through composable DeFi
The Zama incident illustrates a class of risk that has been latent in every DeFi position denominated in centralized stablecoins. We can sketch the propagation in layers.
Layer 1 — direct holding. A user holds USDC in their own EOA. A blacklist applied to that address freezes the user’s balance and nothing else. This is the textbook case: surgical, narrow, and largely uncontroversial when applied to clearly bad actors.
Layer 2 — single-protocol deposit. A user deposits USDC into a lending protocol or AMM. The deposit lives in a pool with other users’ deposits. If the user’s withdrawal address is later blacklisted, they cannot withdraw. The protocol’s pool is not directly affected; other users redeem normally. But if the blacklist is applied to the pool contract itself — as can happen when the disputed funds become commingled and a court orders the freeze at the pool’s address — every depositor’s redemption is impaired.
Layer 3 — wrapped derivative. A user holds a receipt token (cUSDC, aUSDC, sDAI’s USDC backing) whose underlying is held by a protocol contract. A freeze applied to the underlying USDC at the protocol’s address affects the receipt token’s redeemability proportionally. The receipt token is itself transferable and may circulate in third-party protocols, where its value has now silently declined.
Layer 4 — second-degree composition. The receipt token from Layer 3 is used as collateral in another lending market, or supplied to an AMM, or wrapped again into a yield-bearing token. The impairment at Layer 3 propagates as accounting drift through every layer above. Liquidations may trigger on positions that were healthy yesterday. AMM LPs may experience impermanent loss against a now-discounted asset that the oracle still prices at par.
The Zama freeze appears to have been contained at Layer 3 in practical terms, but the architectural possibility of escalation is what should hold researchers’ attention. There is no governance lever inside Compound, Aave, Morpho, or any other major money market that can isolate a frozen sub-balance from the rest of the pool. The pooled-accounting design is load-bearing for capital efficiency and was not built with adversarial token-layer interventions in mind.
What “credibly neutral” means here
Vitalik Buterin’s framing of credible neutrality — that infrastructure should be designed so that its rules cannot be selectively bent in favor of one party — was developed in the context of base layers and public goods funding. DeFi has often borrowed the phrase to describe its own ambitions, particularly around lending markets and DEXs. The Zama case forces a precise question: a protocol can be credibly neutral in its own logic and still inherit non-neutrality from its denomination. Compound did not freeze anything. Compound cannot freeze anything. Yet Compound’s pool was impaired by an external action it could neither contest nor route around.
The neutrality of a protocol denominated in USDC is bounded above by the neutrality of USDC.
The legal-mechanical interface
What makes the Zama freeze interesting beyond its immediate facts is that it sits at the interface between two systems with different assumptions about how custody and identity work.
Civil procedure, as it applies to asset freezes, assumes that funds have an identifiable holder, that the holder owes a duty of care to the party freezing them, and that the freeze can be unwound through the normal litigation process. A garnishment order against a bank is straightforward because the bank knows who owns what.
Token contracts assume that funds have an address, that the address is the holder, and that the contract owner — when one exists — can act on that address with no further inquiry. The blacklist is binary: an address either is or is not on the list. There is no field for “frozen pending litigation, subject to pro-rata release to non-defendant beneficiaries”.
When a court orders Circle to freeze funds at an address, Circle’s compliance obligation is to the court. Circle does not have visibility into who else holds claims against the contract at that address. Circle does not have a mechanism to refund the non-party beneficiaries of a pooled position. The blacklist call goes through; the downstream accounting becomes someone else’s problem.
This is not a critique of Circle’s compliance posture, which is a function of the legal regime it operates under. It is an observation about the interface. DeFi protocols that integrate USDC inherit not only Circle’s compliance authority but the granularity at which that authority is exercised — which is the address, not the beneficial interest.
Comparison: USDT, PYUSD, and the issuer landscape
Tether has historically been more aggressive in using its destroy-funds capability, often in coordination with law enforcement after major exploits. PYUSD, being newer and smaller in circulation, has had fewer occasions to exercise its freeze authority publicly. The mechanical capability across the major fiat-backed stablecoins is broadly similar; the policy and frequency of use differ.
Decentralized alternatives — DAI in its current form, crvUSD, GHO, USDS — have different censorship profiles. DAI’s USDC-backed portion inherits USDC’s censorability for that fraction of its collateral. crvUSD, backed by crypto collateral, does not have an issuer-level blacklist. The tradeoff is the one DeFi has debated since 2020: collateral that is not censorable is also more volatile and more capital-intensive, which translates to less attractive borrowing economics and smaller addressable scale. Until that tradeoff shifts, USDC will remain the reserve asset for most large pools, and the Zama-class of incident will remain a structural possibility.
What the cUSDC holders inherit
Set aside Zama and Overnight for a moment and consider the position of an unrelated cUSDC holder who had no involvement with either party. Before the freeze, their cUSDC was a claim on a pro-rata share of a USDC pool whose nominal balance backed the wrapper at a known exchange rate. After the freeze, their cUSDC is a claim on the same pool with a smaller usable balance. The token’s redemption mechanics still function for the unfrozen portion, but the implicit guarantee — that the wrapper is fully redeemable at the protocol exchange rate — has degraded.
How does the market price this? In practice, partial freezes of this size against multi-hundred-million-dollar pools have not produced visible discounts on the receipt token, because the impaired fraction is small and the legal process is expected to resolve. But the precedent is what matters. A receipt token’s value is now understood to be conditional on no party in the chain of past depositors being subject to a court order whose enforcement passes through the pool.
This is a risk that does not appear on any protocol’s risk dashboard. It is not a smart contract risk, not an oracle risk, not a liquidity risk in any standard sense. It is a denomination risk: the asset that backs the pool can be partially impaired by actions taken against the pool’s address by the asset’s issuer, on instructions from a third-party legal authority, regarding a fourth-party dispute. There is no on-chain disclosure of pending freezes. There is no mechanism for affected protocols to subscribe to notifications. The first signal is the failed transaction.
Implications and open questions
The Zama freeze does not change anything fundamental about USDC. The blacklist has been in the contract since deployment, and the propagation risk has been understood, at least in principle, by researchers who have looked at the code. What the incident does is move the risk from theoretical to documented, with a specific dollar figure and a specific protocol that did nothing wrong and still ended up holding the bag.
Several open questions follow.
First, what is the appropriate response at the protocol layer? Compound, Aave, and other money markets could in principle add mechanisms to isolate frozen balances — a “compliance vault” pattern where flagged deposits are siloed from the main pool. But siloing requires the protocol to know, at deposit time, which funds are likely to be flagged later, which is not knowable. The alternative is to maintain a buffer reserve that absorbs freeze impacts, which is a capital tax on every depositor to subsidize the rare event. Neither option is attractive, and neither has been implemented at scale.
Second, does the receipt token need to disclose its exposure? A user holding cUSDC, aUSDC, or any similar wrapper today has no on-chain way to verify that none of the underlying is frozen. A transparency primitive — a function that returns the frozen fraction of the underlying pool — would let downstream protocols and users price the risk. No major wrapper currently exposes this.
Third, what is the threshold at which DeFi diversifies away from USDC denomination? The current concentration is rational under the assumption that freeze events remain small relative to pool size and rare relative to deposit duration. If the frequency or size of freeze actions scales — whether through expanded sanctions enforcement, broader use of civil asset-freeze orders against on-chain funds, or both — the cost-benefit calculation shifts. Decentralized stablecoins, multi-collateral baskets, and tokenized treasuries each offer partial substitutes, each with their own tradeoffs.
Fourth, and most uncomfortably, the Zama incident is a small case. The cUSDC pool absorbed a $12.6 million freeze without observable stress. The relevant question is what happens when a freeze order targets a balance that represents a material fraction of a pool — five percent, ten percent, more. The propagation that was invisible at this scale becomes a liquidity event at a larger one. We do not know where that threshold sits because the experiment has not been run.
What we can say is that the assumption underpinning much of DeFi’s growth — that USDC, while issuer-controlled in principle, behaves as neutral infrastructure in practice — has acquired a footnote. The footnote reads: except when it does not, and you may not be the party the freeze is aimed at.
들어가며
2025년 11월, 미국 법원은 완전 동형 암호화(fully homomorphic encryption) 프로젝트인 Zama가 운영하는 스마트 컨트랙트에 보관된 약 1,260만 달러의 USDC를 동결하도록 Circle에 명령했다. 이는 Overnight Finance가 제기한 민사 소송의 일환이었다. Circle이 매년 수십 건씩 처리하는 여느 동결 조치와 이 사건을 구분 짓는 것은 금액이 아니다. 바로 주소(address)다. 동결된 잔액은 Zama가 통제하지만 직접 예치하지는 않은 컨트랙트에 들어 있었다. 원고 측 주장에 따르면, 해당 잔액은 Overnight이 횡령됐다고 주장하는 자금이 일련의 스왑과 예치를 거쳐 Zama가 운영하는 볼트에 유입된 Compound 래핑 USDC(cUSDC)였다.
Zama는 피고가 아니다. Compound도 피고가 아니다. 이제 상환 대기열이 부분 동결된 준비금을 통과해야 하는 cUSDC 토큰 보유자들도 피고가 아니다. 그럼에도 USDC 컨트랙트 레이어에서 실행된 동결 조치는 이 모두에게 영향을 미쳤다. 특정 당사자의 자산을 겨냥한 법원 명령이, 그 당사자와 아무런 관계가 없는 프로토콜의 컴포저블 포지션을 일시적으로 훼손한 것이다.
이는 새로운 메커니즘이 아니다. USDC, USDT, PYUSD, FDUSD 등 중앙화된 법정화폐 담보 스테이블코인은 모두 발행사가 통제하는 블랙리스트 기능을 갖추고 있다. 새로운 것은 2차 효과의 가시성이다. DeFi가 USDC를 기축 자산으로 사용하는 상황에서, 블랙리스트 입장에서는 외과적으로 보이는 조치가 실제로는 무차별적으로 작용한다. 이번 사건을 계기로 스테이블코인 아키텍처의 검열 노출 면적을 정리하고, 그 노출이 컴포저블 프로토콜을 통해 어떻게 전파되는지를 살펴보며, 이번 동결이 USDC의 DeFi 사실상 준비 자산 지위를 정당화하는 신뢰할 수 있는 중립성 가정에 무엇을 시사하는지 짚어본다.
중앙화 스테이블코인의 블랙리스트 원시 기능
USDC는 Blacklistable 컨트랙트에서 상속된 두 가지 관리 함수, blacklist(address)와 unBlacklist(address)를 포함하는 ERC-20 토큰이다. 컨트랙트 소유자인 Circle이 특정 주소에 blacklist를 호출하면, 이후 해당 주소가 관여하는 모든 전송은 되돌아간다(revert). 해당 주소의 자금은 이동할 수 없고, 외부에서 자금을 전송하는 것도 불가하며, 사실상 토큰과의 모든 상호작용에서 배제된다. Circle은 기반 프록시의 제어된 업그레이드 경로를 통해 컨트랙트 동작을 더 폭넓게 변경할 권한도 보유하지만, 일상적인 집행 수단은 블랙리스트다.
USDT는 Tether의 addBlackList 함수와, 블랙리스트에 오른 주소의 잔액을 직접 소각할 수 있는 별도의 destroyBlackFunds 함수를 통해 유사한 통제 기능을 제공한다. Paxos가 발행하는 PYUSD도 freeze와 wipeFrozenAddress로 동일한 패턴을 따른다. 명칭은 다르지만 내용은 같다. 발행사는 자신이 발행한 토큰의 특정 주소 사용을 차단할 권한을 보유한다.
그 근거는 명확하며, 규제 금융에서는 대체로 논란이 없다. 미국 제재법의 적용을 받는 발행사는 OFAC 지정 주소가 자신의 토큰으로 거래하도록 방치할 수 없다. 같은 기능이 피해자 요청에 따른 도난 자금 회수, 법원 명령에 따른 자산 동결, 법 집행 소환장 대응에도 활용된다. Circle은 블랙리스트 조치 통계를 공개하고 있으며, 수천만 명의 보유자 대비 누적 차단 주소 수는 수천 건 수준이다.
USDC 역사의 대부분에서, 극히 드문 예외적 사건과 나머지 모두에게 제공되는 깨끗한 사용 경험 사이의 이 비대칭성은 합리적인 타협으로 읽혀 왔다. 토큰은 원칙적으로 검열 가능하지만, 일반 보유자에게는 그렇지 않은 것처럼 작동한다. Zama 사건은 원칙과 실제가 갈라지는 경계에 놓여 있다.
원시 기능이 토큰 레이어에 위치하는 이유
대안적인 설계가 있다. 일부 허가형(permissioned) 토큰이 채택한 방식으로, 준수 집행이 전송 로직이 참조하는 별도의 레지스트리 컨트랙트에 위치하는 구조다. 레지스트리 패턴의 장점은 컴포저빌리티다. 토큰을 통합한 프로토콜이 레지스트리를 읽고, 플래그된 거래상대방을 어떻게 처리할지 스스로 결정할 수 있다. 단점은 지연과 불일치다. 권위 있는 레지스트리가 아니면 준수 통제 수단이 될 수 없다.
USDC의 설계는 블랙리스트를 전송 경로에 직접 내장했다. 차단된 주소는 어떤 컨트랙트가 전송을 시작하든 토큰을 이동할 수 없다. 확인이 토큰 컨트랙트 내부에서 이루어지기 때문이다. 이것이 검열 강도의 원천이자 전파 문제의 원천이다. 잔액이 동결되면, 해당 잔액을 보유한 모든 컨트랙트는—그것이 분쟁을 인지하든 못하든, 당사자이든 아니든—자체 회계가 훼손된다.
Zama 동결의 구조
공개 소송 자료와 Overnight Finance의 주장을 재구성한 보고된 경위는 대략 다음과 같다. Overnight이 횡령됐다고 주장하는 자금이 USDC로 스왑된 후, Compound v2에 예치되어 cUSDC를 발행했고, 발행된 cUSDC는 Zama가 운영하는 컨트랙트로 이동했다. Overnight은 소송을 제기하고 Circle에 해당 포지션과 연관된 기반 USDC를 동결하도록 하는 법원 명령을 받아냈다. Circle은 이에 따랐다. 동결은 분쟁 대상 예치분에 해당하는 Compound cUSDC 컨트랙트가 보유한 USDC 잔액에 적용됐다. 좀 더 정확히 말하면, Zama 주소에 있는 cUSDC 보유분의 상환 경로를 막는 방식으로 USDC 전송을 차단했다.
중요한 메커니즘적 세부 사항이 있다. cUSDC는 1대1 래퍼가 아니다. 풀(pool) 기반의 영수증 토큰이다. 사용자가 Compound v2에 USDC를 예치하면, 프로토콜은 현재 환율로 cUSDC를 발행하고, 예치된 USDC는 유통 중인 모든 cUSDC를 뒷받침하는 단일 풀에 합산된다. 사용자가 상환할 때는 cUSDC를 소각하고 풀에서 USDC를 돌려받는다. 풀은 대체 가능하다. 예치자별 분리 볼트는 없다.
이는 Compound cUSDC 풀에 적용된 동결이 특정 예치자의 청구권을 외과적으로 분리하지 못함을 의미한다. 풀에서 상환 가능한 USDC 총량이 줄어드는 것이다. 풀의 USDC 1,260만 달러가 동결되면, 풀의 실효 준비금이 그만큼 감소하고, 풀 USDC 대비 유통 cUSDC의 비율인 cUSDC 환율이 토큰을 보유한 모든 이에게 훼손된다.
실제로는 분쟁 대상 예치분에 해당하는 특정 잔액으로 동결 범위가 한정된 것으로 보이며, Circle이 사용한 정확한 집행 메커니즘은 공시된 컨트랙트 호출이 아닌 공개 보도를 통해서만 알려져 있다. 그러나 아키텍처적 핵심은 유효하다. 풀 기반 영수증 토큰 시스템의 토큰 레이어에서 특정 당사자의 경제적 이익을 겨냥해 동결을 적용하면, 반드시 풀 전체에 영향이 미친다.
관련 당사자 문제
Zama는 cUSDC의 주소 기록상 보유자다. 주장에 따르면 해당 자금은 어떤 의미에서도 Zama의 것이 아니다. 보도에 따르면 해당 프로토콜은 온체인 운영 방식에 따라 해당 포지션에 유입된 것으로 설명된다. 래퍼를 발행하고 소각하는 컨트랙트인 Compound도 마찬가지로 근본적인 분쟁의 당사자가 아니다. 두 컨트랙트는 단순히 분쟁 가치가 통과한 경로일 뿐이다.
전통적인 자산 동결 명령은 이 시나리오를 상정한다. 법원은 피고의 자금을 보유한 은행에 압류 명령을 내릴 수 있고, 은행의 다른 예금자들은 영향을 받지 않는다. 은행의 장부가 예금자별로 분리되어 있기 때문이다. DeFi에는 그에 상응하는 기본 구조가 없다. 풀 기반 래퍼는 토큰 레이어에 예치자별 회계를 갖추지 않는다. 토큰에 대해 집행된 법원 명령은 풀에 떨어진다.
컴포저블 DeFi를 통한 전파
Zama 사건은 중앙화 스테이블코인으로 표시된 모든 DeFi 포지션에 잠재해 있던 리스크 범주를 가시화했다. 이 전파를 레이어별로 정리할 수 있다.
레이어 1 — 직접 보유. 사용자가 자신의 EOA에 USDC를 보유한다. 해당 주소에 블랙리스트가 적용되면 해당 사용자의 잔액만 동결된다. 이것이 교과서적 사례다. 외과적이고, 범위가 좁으며, 명백한 악의적 행위자에게 적용될 때는 대체로 논란이 없다.
레이어 2 — 단일 프로토콜 예치. 사용자가 USDC를 대출 프로토콜이나 AMM에 예치한다. 예치분은 다른 사용자의 예치분과 함께 풀에 존재한다. 사용자의 출금 주소가 이후 블랙리스트에 오르면 인출이 불가하다. 프로토콜의 풀은 직접적인 영향을 받지 않고, 다른 사용자는 정상적으로 상환한다. 그러나 분쟁 자금이 뒤섞이고 법원이 풀의 주소에 대해 동결을 명령하는 방식으로 블랙리스트가 풀 컨트랙트 자체에 적용되면, 모든 예치자의 상환이 훼손된다.
레이어 3 — 래핑된 파생물. 사용자가 기초 자산을 프로토콜 컨트랙트가 보유하는 영수증 토큰(cUSDC, aUSDC, sDAI의 USDC 담보)을 보유한다. 프로토콜 주소에서 기초 USDC에 동결이 적용되면, 영수증 토큰의 상환 가능성이 비례적으로 훼손된다. 영수증 토큰 자체는 이전 가능하며 제3자 프로토콜에서 유통될 수 있는데, 이제 그 가치는 조용히 하락한 상태다.
레이어 4 — 2차 컴포지션. 레이어 3의 영수증 토큰이 다른 대출 시장에서 담보로 사용되거나, AMM에 공급되거나, 다시 수익 창출 토큰으로 래핑된다. 레이어 3에서 발생한 훼손이 회계 편차로서 그 위의 모든 레이어에 전파된다. 오라클이 여전히 액면가로 가격을 책정하는 할인된 자산에 대해, 전날까지 건전했던 포지션에서 청산이 발생할 수 있다. AMM 유동성 공급자는 비영구적 손실을 경험할 수 있다.
Zama 동결은 실질적으로 레이어 3에서 봉쇄된 것으로 보이지만, 연구자들이 주목해야 할 것은 더 큰 규모로의 확산 가능성이다. Compound, Aave, Morpho 또는 다른 주요 머니마켓 내에는 동결된 하위 잔액을 나머지 풀로부터 분리할 수 있는 거버넌스 레버가 없다. 풀 기반 회계 설계는 자본 효율성의 핵심 구조이며, 적대적인 토큰 레이어 개입을 염두에 두고 만들어지지 않았다.
여기서 ‘신뢰할 수 있는 중립성’의 의미
Vitalik Buterin이 제시한 신뢰할 수 있는 중립성 개념, 즉 인프라는 특정 당사자에게 유리하게 규칙이 선택적으로 구부러질 수 없도록 설계되어야 한다는 원칙은, 기반 레이어와 공공재 펀딩의 맥락에서 발전했다. DeFi는 종종 이 표현을 자신의 지향점을 설명하는 데 차용해 왔다. 특히 대출 시장과 DEX를 중심으로. Zama 사건은 이에 대해 정밀한 질문을 던진다. 프로토콜은 자체 로직에서 신뢰할 수 있는 중립성을 유지하면서도, 자신의 표시 통화로부터 비중립성을 물려받을 수 있다. Compound는 아무것도 동결하지 않았다. Compound는 아무것도 동결할 수 없다. 그러나 Compound의 풀은 자신이 이의를 제기하거나 우회할 수 없는 외부 조치로 인해 훼손됐다.
USDC로 표시된 프로토콜의 중립성은 USDC의 중립성을 상한으로 갖는다.
법-기계 인터페이스
Zama 동결이 당면한 사실관계를 넘어 흥미로운 이유는, 그것이 custody와 identity에 대해 서로 다른 가정을 가진 두 시스템의 접점에 위치하기 때문이다.
자산 동결에 적용되는 민사 소송 절차는, 자금에 식별 가능한 보유자가 있고, 보유자가 동결을 명령하는 당사자에 대해 일정한 의무를 지며, 동결이 정상적인 소송 절차를 통해 해제될 수 있다고 가정한다. 은행에 대한 압류 명령은 은행이 누가 무엇을 소유했는지 알기 때문에 간단하다.
토큰 컨트랙트는 자금에 주소가 있고, 주소가 곧 보유자이며, 컨트랙트 소유자가—존재하는 경우—추가 확인 없이 그 주소에 대해 조치를 취할 수 있다고 가정한다. 블랙리스트는 이진법이다. 주소는 목록에 있거나 없거나 둘 중 하나다. “소송 진행 중 동결, 피고 아닌 수혜자에게 비례적 해제 대상”이라는 필드는 없다.
법원이 Circle에 특정 주소의 자금을 동결하라고 명령할 때, Circle의 준수 의무는 법원에 있다. Circle은 해당 주소의 컨트랙트에 대해 다른 누가 청구권을 보유하는지 알 방법이 없다. Circle은 풀 기반 포지션의 비당사자 수혜자들에게 환급할 메커니즘도 없다. 블랙리스트 호출이 실행되고, 그 이후의 회계 문제는 다른 누군가의 몫이 된다.
이는 Circle의 준수 태도에 대한 비판이 아니다. 그것은 Circle이 운영되는 법적 체계의 산물이다. 이는 인터페이스에 대한 관찰이다. USDC를 통합하는 DeFi 프로토콜은 Circle의 준수 권한뿐 아니라, 그 권한이 행사되는 단위, 즉 수익적 이익이 아닌 주소를 함께 물려받는다.
비교: USDT, PYUSD, 그리고 발행사 생태계
Tether는 역사적으로 자금 소각 기능을 더 적극적으로 활용해 왔으며, 주로 대형 익스플로잇 이후 법 집행 기관과 협조하는 형태로 이루어졌다. 유통량이 더 적고 출시가 최근인 PYUSD는 동결 권한을 공개적으로 행사할 기회가 적었다. 주요 법정화폐 담보 스테이블코인의 기계적 기능은 대체로 유사하며, 정책과 사용 빈도에서 차이가 난다.
분산화된 대안들, 즉 현재 형태의 DAI, crvUSD, GHO, USDS는 서로 다른 검열 프로필을 가진다. DAI에서 USDC로 담보된 부분은 그 비율만큼 USDC의 검열 가능성을 물려받는다. 암호화폐 담보로 뒷받침되는 crvUSD에는 발행사 수준의 블랙리스트가 없다. 트레이드오프는 2020년 이후 DeFi가 논쟁해온 바로 그것이다. 검열 불가능한 담보는 변동성이 더 높고 자본 집약도가 더 높으며, 이는 덜 매력적인 차입 경제학과 더 좁은 주소 가능한 규모로 이어진다. 이 트레이드오프가 바뀌기 전까지 USDC는 대부분의 대형 풀에서 준비 자산으로 남을 것이고, Zama 유형의 사건은 구조적 가능성으로 상존할 것이다.
cUSDC 보유자가 물려받는 것
잠시 Zama와 Overnight을 제쳐두고, 어느 쪽과도 관련 없는 cUSDC 보유자의 입장을 생각해 보자. 동결 이전, 그의 cUSDC는 알려진 환율로 래퍼를 뒷받침하는 USDC 풀의 명목 잔액에 대한 비례적 청구권이었다. 동결 이후, 그의 cUSDC는 사용 가능한 잔액이 줄어든 동일한 풀에 대한 청구권이 됐다. 동결되지 않은 부분에 대한 토큰의 상환 메커니즘은 여전히 작동하지만, 래퍼가 프로토콜 환율로 완전히 상환 가능하다는 암묵적 보장은 훼손됐다.
시장은 이를 어떻게 가격에 반영하는가? 실제로 수억 달러 규모의 풀에 대한 이 정도 규모의 부분 동결은 영수증 토큰에 눈에 띄는 할인을 만들어내지 않았다. 훼손된 비율이 작고 법적 절차가 해결될 것으로 예상되기 때문이다. 그러나 중요한 것은 선례다. 영수증 토큰의 가치는 이제 과거 예치자 중 어느 당사자도 그 집행이 풀을 통과하는 법원 명령의 대상이 되지 않는다는 조건부임이 인식됐다.
이것은 어떤 프로토콜의 리스크 대시보드에도 나타나지 않는 리스크다. 스마트 컨트랙트 리스크도, 오라클 리스크도, 일반적인 의미의 유동성 리스크도 아니다. 이것은 표시 통화 리스크다. 풀을 뒷받침하는 자산이, 제4자 분쟁에 관해 제3자 법적 기관의 지시를 받은 자산 발행사에 의해, 풀의 주소에 대해 취해진 조치로 인해 부분적으로 훼손될 수 있다. 보류 중인 동결에 대한 온체인 공시는 없다. 영향받는 프로토콜이 알림을 구독할 메커니즘도 없다. 첫 번째 신호는 실패한 트랜잭션이다.
시사점과 미결 과제
Zama 동결은 USDC에 대해 어떤 근본적인 것도 바꾸지 않는다. 블랙리스트는 배포 이후 줄곧 컨트랙트에 있었고, 전파 리스크는 코드를 살펴본 연구자들에게 적어도 원칙적으로는 이미 알려져 있었다. 이 사건이 하는 것은 그 리스크를 이론에서 기록으로 옮기는 것이다. 구체적인 달러 수치와, 아무 잘못도 하지 않았음에도 결국 피해를 입은 구체적인 프로토콜과 함께.
몇 가지 미결 과제가 뒤따른다.
첫째, 프로토콜 레이어에서의 적절한 대응은 무엇인가? Compound, Aave 및 다른 머니마켓은 원칙적으로 동결된 잔액을 분리하는 메커니즘을 추가할 수 있다. 플래그된 예치분을 메인 풀에서 격리하는 ‘컴플라이언스 볼트’ 패턴이 그것이다. 그러나 격리는 프로토콜이 예치 시점에 어떤 자금이 나중에 플래그될 것인지 알 것을 요구하는데, 이는 알 수 없는 일이다. 대안은 동결 영향을 흡수하는 버퍼 준비금을 유지하는 것이다. 이는 드문 사건을 보조하기 위해 모든 예치자에게 자본 세금을 부과하는 것이다. 두 옵션 모두 매력적이지 않으며, 어느 쪽도 의미 있는 규모로 구현되지 않았다.
둘째, 영수증 토큰은 자신의 노출을 공시할 필요가 있는가? 오늘날 cUSDC, aUSDC 또는 유사한 래퍼를 보유하는 사용자는 기초 자산의 일부가 동결되어 있지 않은지 온체인에서 확인할 방법이 없다. 기초 풀의 동결된 비율을 반환하는 함수라는 투명성 원시 기능은 하위 프로토콜과 사용자가 리스크를 가격에 반영하도록 할 것이다. 현재 어떤 주요 래퍼도 이를 제공하지 않는다.
셋째, DeFi가 USDC 표시에서 다각화하는 임계점은 어디인가? 현재의 집중은 동결 사건이 풀 크기 대비 작게 유지되고 예치 기간 대비 드물게 발생한다는 가정 하에 합리적이다. 동결 조치의 빈도나 규모가 확대되면—확장된 제재 집행, 온체인 자금에 대한 민사 자산 동결 명령의 더 광범위한 활용, 또는 그 두 가지 모두를 통해—비용-편익 계산이 달라진다. 분산화 스테이블코인, 다중 담보 바스켓, 토큰화된 국채는 각각 부분적인 대안을 제공하며, 각자의 트레이드오프를 갖는다.
넷째, 가장 불편한 질문으로, Zama 사건은 소규모 사례다. cUSDC 풀은 1,260만 달러의 동결을 눈에 띄는 스트레스 없이 흡수했다. 관련 질문은 동결 명령이 풀의 상당 비율, 5%, 10%, 또는 그 이상을 차지하는 잔액을 겨냥할 때 어떤 일이 발생하는가다. 이 규모에서 보이지 않던 전파가 더 큰 규모에서는 유동성 이벤트가 된다. 그 임계점이 어디에 있는지는 아직 실험이 실행되지 않았기 때문에 알 수 없다.
우리가 말할 수 있는 것은, DeFi 성장의 상당 부분을 뒷받침했던 가정, 즉 USDC는 원칙적으로 발행사 통제를 받지만 실제로는 중립적 인프라처럼 작동한다는 가정에 각주가 생겼다는 것이다. 그 각주는 이렇게 읽힌다. 그렇지 않을 때는 예외이며, 동결의 대상이 당신이 아닐 수도 있다.
はじめに
2025年11月、米国の裁判所は、Overnight Financeが提起した民事訴訟の一環として、完全準同型暗号プロジェクトであるZamaが運営するスマートコントラクト内に保有されていた約1,260万ドル相当のUSDCをCircleに凍結するよう命じた。この凍結が毎年Circleが実施する数十件の凍結と一線を画するのは、その金額ではない。問題は、対象となったアドレスにある。凍結された残高は、Zamaが管理しているものの自身では預け入れていないコントラクトに存在していた。それはCompoundでラップされたUSDC(cUSDC)であり、原告の主張によれば、Overnightが不正流用されたと主張する資金が一連のスワップと預け入れを経由してZamaが運営するボールトに流れ込んだものだという。
Zamaは被告ではない。Compoundも被告ではない。一部凍結された準備金を通じて償還キューが滞っているcUSDCトークン保有者も被告ではない。それにもかかわらず、USDCコントラクト層で実行された凍結は、彼ら全員に影響を及ぼした。ある当事者の資産を対象とした裁判所命令が、その当事者とはまったく無関係なプロトコル内のコンポーザブルなポジションを一時的に毀損したのである。
これ自体は目新しいメカニズムではない。USDC、USDT、PYUSD、FDUSDといった中央集権型の法定通貨担保ステーブルコインは、いずれも発行者が管理するブラックリスト機能を実装している。新しいのは、二次的影響の可視性だ。DeFiがUSDCを基軸通貨として扱う以上、ブラックリスト上では外科的処置に見える操作が、実際には無差別な影響をもたらす。本稿では、このインシデントを起点にステーブルコインのアーキテクチャが持つ検閲対象面を整理し、その影響がコンポーザブルなプロトコル全体にどう伝播するかを検証したうえで、この凍結がDeFiの事実上の準備資産としてのUSDCの地位を支える「信頼できる中立性」という前提に何を示唆するかを考察する。
中央集権型ステーブルコインにおけるブラックリストの基本構造
USDCは、Blacklistableコントラクトから継承された2つの管理関数 — blacklist(address) と unBlacklist(address) — を持つERC-20トークンだ。コントラクトオーナーであるCircleが特定のアドレスに対してblacklistを呼び出すと、そのアドレスが関与する以降のすべての送金は失敗する。対象アドレスからは資金を移動できず、受け取ることもできず、事実上そのトークンとの一切のやり取りが遮断される。さらにCircleは、基盤となるプロキシのアップグレードパスを通じてコントラクトの挙動をより広範に変更する権限も持つが、日常的な執行手段はこのブラックリストだ。
USDTもTetherのaddBlackList関数と、ブラックリスト登録アドレスの残高をそのまま焼却できるdestroyBlackFunds関数によって同様のコントロール機能を備えている。Paxosが発行するPYUSDも、freezeとwipeFrozenAddressという同じパターンに従う。名称は異なるが、本質は同じだ。発行者は、自らが発行するトークンについて、特定のアドレスの利用を拒否する権限を保持している。
その正当性は明快であり、規制された金融の世界では概ね受け入れられている。米国の制裁法に服する発行者は、OFACが指定したアドレスが自社のトークンで取引することを認めるわけにはいかない。同じ仕組みは、被害者の要請に基づく盗難資金の回収、裁判所命令で指定された資産の凍結、法執行機関の召喚状への対応にも用いられる。Circleはブラックリスト措置の概要統計を公開しており、累積件数は数千アドレス程度で、数千万人を超える保有者全体に対しては極めて少数だ。
USDCの歴史の大部分において、こうした「周縁部での稀な出来事」と「その他すべてのユーザーにとってのクリーンな体験」の非対称性は、実用的な妥協として受け入れられてきた。原則上は検閲可能でも、普通の保有者にとってはまるでそうでないかのように機能する。Zamaのインシデントは、原則と実践が乖離する境界線上に位置する。
このプリミティブがトークン層に存在する理由
設計上の代替案として、一部のパーミッション型トークンが採用しているように、コンプライアンス執行を送金ロジックが参照する別個のレジストリコントラクトに委ねる方法がある。レジストリパターンの利点はコンポーザビリティだ。トークンを統合するプロトコルがレジストリを参照し、フラグの立ったカウンターパーティへの対処を独自に判断できる。欠点はレイテンシと不一致で、権威を持たないレジストリはコンプライアンスコントロールとして機能しない。
USDCの設計はブラックリストを送金パス内に直接埋め込んでいる。そのチェックはトークンコントラクト自体の内部で行われるため、どのコントラクトが送金を起点としようとも、ブロック対象アドレスはトークンを移動できない。これがUSDCの検閲強度の源泉であり、同時に伝播問題の源泉でもある。一度残高が凍結されると、その残高を保有するあらゆるコントラクトは — 事情を知っているかどうか、紛争の当事者であるかどうかにかかわらず — 自身のアカウンティングが毀損されることになる。
Zamaの凍結を解剖する
公開されている提訴書類とOvernight Financeの主張から再構成すると、一連の経緯はおおよそ次のようになる。Overnightが不正流用されたと主張する資金がUSDCにスワップされ、Compound v2に預け入れてcUSDCを鋳造し、そのcUSDCがZamaの運営するコントラクトに移された。Overnightが提訴してポジションに関連するUSDCの凍結をCircleに命じる裁判所命令を取得し、Circleはこれに従った。凍結は、問題の預け入れに対応するCompoundのcUSDCコントラクトが保有するUSDC残高に適用された — より正確には、Zamaのアドレスに存在するcUSDCポジションの償還経路を封じる形でUSDCの送金を阻止した。
重要な技術的詳細がある。cUSDCは1対1のラッパーではない。プールされたレシートトークンだ。ユーザーがCompound v2にUSDCを預けると、プロトコルは当時の交換レートでcUSDCを鋳造し、預け入れられたUSDCは流通するすべてのcUSDCを裏付ける単一のプールに入る。ユーザーが償還する際は、cUSDCを焼却してプールからUSDCを受け取る。プールは代替可能であり、預け入れ者ごとに独立したボールトは存在しない。
つまり、CompoundのcUSDCプールに適用された凍結は、1人の預け入れ者の請求権を外科的に切り離すことができない。それは全cUSDC保有者が利用できる償還可能なUSDCを減少させる。プール内の1,260万ドルのUSDCが凍結されれば、プールの実効準備金はその分だけ減り、プールのUSDCと流通するcUSDCの比率であるcUSDC交換レートは、トークンを保有するすべての人にとって毀損される。
実際には、凍結は問題の預け入れに対応する特定の残高にスコープされており、プール全体が崩壊するには至っていないようだ。Circleが使用した正確な執行メカニズムも、公表されたコントラクトの呼び出しではなくパブリックな報道に基づくものにとどまっている。しかし、アーキテクチャ的な要点は変わらない。プールされたレシートトークンシステムのトークン層に適用された凍結は、ある当事者の経済的利益を標的としたものであっても、プールに触れざるを得ない。
利害関係者の特定問題
ZamaはcUSDCのアドレス記録上の保有者だ。しかし主張されているように、その資金はいかなる意味でもZamaのものではない — そのプロトコルは、オンチェーンの操作がルーティングされた結果としてそのポジションに行き着いたと報告されている。ラッパーを鋳造・焼却するCompoundも、根本的な紛争の当事者ではない。両者は単に、問題の価値が通過したコントラクトに過ぎない。
伝統的な資産凍結命令はこのシナリオを想定している。裁判所は被告の資金を保有する銀行に対して差し押さえ命令を発することができ、銀行の他の預金者は影響を受けない。銀行の帳簿が口座保有者ごとに分離されているからだ。DeFiにはそれに相当するものがデフォルトでは存在しない。プールされたラッパーにはトークン層での預け入れ者別アカウンティングがない。トークンに対して執行された裁判所命令は、プールに着地する。
コンポーザブルDeFiを通じた伝播
Zamaのインシデントは、中央集権型ステーブルコイン建てのあらゆるDeFiポジションに潜在してきたリスクの類型を浮き彫りにする。その伝播を層ごとに整理できる。
レイヤー 1 — 直接保有。 ユーザーが自分のEOAにUSDCを保有している。そのアドレスに適用されたブラックリストはユーザーの残高を凍結するのみで、それ以外には影響しない。これは教科書的なケースであり、明らかに悪質な行為者に適用される場合は外科的で限定的かつ概ね議論の余地がない。
レイヤー 2 — 単一プロトコルへの預け入れ。 ユーザーがUSDCをレンディングプロトコルやAMMに預け入れる。預け入れ資金は他のユーザーの資金とともにプールに存在する。後からユーザーの引き出しアドレスがブラックリストに登録された場合、そのユーザーは引き出せない。しかしプロトコルのプール自体は直接影響を受けず、他のユーザーは通常通り償還できる。ただし、混合した資金が問題となってプールのコントラクトアドレス自体に凍結が適用されると、すべての預け入れ者の償還が毀損される。
レイヤー 3 — ラップされたデリバティブ。 ユーザーが、プロトコルコントラクトに原資産が保有されているレシートトークン(cUSDC、aUSDC、sDAIのUSDC裏付けなど)を保有している。プロトコルのアドレスで原資産USDCに凍結が適用されると、レシートトークンの償還可能性は比例して影響を受ける。そのレシートトークン自体は譲渡可能であり、サードパーティのプロトコルで流通している可能性もあるが、その価値は今や静かに低下している。
レイヤー 4 — 二次的コンポジション。 レイヤー 3のレシートトークンが別のレンディングマーケットで担保として使われたり、AMMに供給されたり、さらに利回りを生むトークンに再ラップされたりする。レイヤー 3の毀損は、アカウンティングの乖離として上位のすべての層に伝播する。前日まで健全だったポジションで清算がトリガーされる可能性がある。オラクルがまだパーで価格付けしている割引資産に対して、AMM LPが非永続損失を被る可能性もある。
Zamaの凍結は実際にはレイヤー 3で封じ込められたようだが、エスカレーションの建築的可能性こそが研究者の注意を引くべき点だ。Compound、Aave、Morpho、その他主要マネーマーケットのいずれにも、凍結されたサブ残高をプールの残りから切り離すガバナンスのレバーは存在しない。プールされたアカウンティング設計は資本効率上の要として機能しており、トークン層からの敵対的介入を想定して構築されたものではない。
ここでの「信頼できる中立性」の意味
Vitalik Buterinが提示した「信頼できる中立性」 — インフラはその規則が特定の当事者に有利に恣意的に曲げられないよう設計されるべきだという考え方 — は、ベース層とパブリックグッズの資金調達の文脈で発展した。DeFiはしばしばこのフレーズを自らの目標を表すために借用してきた。特にレンディングマーケットとDEXについてそうだ。Zamaのケースは精確な問いを突きつける。プロトコルは自身のロジックにおいては信頼できる中立性を持ちながら、その建て値から非中立性を継承することができる。Compoundは何も凍結していない。Compoundには何かを凍結する手段がない。それでも、Compoundのプールは自らが争うことも回避することもできない外部的な行動によって毀損された。
USDCで建てられたプロトコルの中立性は、USDCの中立性を上限とする。
法的・機械的インターフェース
Zamaの凍結が直接の事実関係を超えて興味深いのは、それが資産の管理と身元についての異なる前提を持つ2つのシステムの接点に位置しているからだ。
資産凍結に適用される民事手続は、資産には識別可能な保有者が存在し、保有者は凍結を命じる当事者に対して注意義務を負い、凍結は通常の訴訟プロセスを通じて解除できると想定する。銀行に対する差し押さえ命令が単純なのは、銀行が誰が何を所有しているかを把握しているからだ。
トークンコントラクトは、資産にはアドレスが存在し、アドレスが保有者であり、コントラクトオーナーが存在する場合はそのオーナーが追加の照会なしにそのアドレスに対して行動できると想定する。ブラックリストはバイナリだ。アドレスはリストに載っているか載っていないかのどちらかであり、「訴訟中のため凍結、非被告の受益者への按分解放に服する」というフィールドは存在しない。
裁判所がCircleにあるアドレスの資金を凍結するよう命じたとき、Circleのコンプライアンス義務は裁判所に対するものだ。Circleにはそのアドレスのコントラクトに対して他に誰が請求権を持つかを把握する手段がない。プールされたポジションの非当事者受益者に払い戻す仕組みもない。ブラックリストの呼び出しは実行され、下流のアカウンティングは他者の問題となる。
これはCircleのコンプライアンス姿勢への批判ではない。それは同社が服する法的体制の機能だ。これはインターフェースについての観察だ。USDCを統合するDeFiプロトコルは、Circleのコンプライアンス権限だけでなく、その権限が行使される粒度も継承する — それはアドレスであり、受益上の利益ではない。
比較:USDT、PYUSD、および発行者の状況
Tetherは歴史的に資金破壊機能の使用においてより積極的で、大規模なエクスプロイト後に法執行機関と連携して行使することが多い。PYUSDは比較的新しく流通量も少ないため、凍結権限を公に行使した機会はより少ない。主要な法定通貨担保ステーブルコイン全体にわたる機械的な能力は概ね同様であり、ポリシーと使用頻度が異なる。
分散型の代替手段 — 現行形式のDAI、crvUSD、GHO、USDS — は異なる検閲プロファイルを持つ。DAIのUSDC担保部分は、その担保の割合においてUSDCの検閲可能性を継承する。暗号資産担保のcrvUSDには発行者レベルのブラックリストがない。このトレードオフは2020年以来DeFiが議論してきたものだ。検閲できない担保はより変動しやすく資本集約的であり、それは魅力に欠く借入コストとより小さなアドレス可能なスケールを意味する。そのトレードオフが変化するまで、USDCは大半の大型プールの準備資産であり続け、Zamaクラスのインシデントは構造的な可能性として残り続ける。
cUSDC保有者が引き継ぐもの
ZamaとOvernightを脇に置いて、両当事者とまったく無関係なcUSDC保有者のポジションを考えてみよう。凍結前、彼らのcUSDCは、既知の交換レートでラッパーを裏付けるUSDCプールの按分持ち分に対する請求権だった。凍結後、彼らのcUSDCは、使用可能な残高が減少した同じプールへの請求権となった。凍結されていない部分についてはトークンの償還メカニズムが機能し続けるが、暗黙の保証 — ラッパーはプロトコルの交換レートで完全に償還可能であるという前提 — は劣化した。
市場はこれをどう価格付けするか。実際には、数億ドル規模のプールに対するこの程度の部分凍結はレシートトークンに目に見えるディスカウントを生じさせていない。毀損された割合が小さく、法的プロセスによって解決されると見込まれているからだ。しかし重要なのは先例だ。レシートトークンの価値は、過去の預け入れ者の連鎖の中に、プールを通じた執行が行われる裁判所命令の対象となった当事者が存在しないという条件付きのものとして理解されるようになった。
これはいかなるプロトコルのリスクダッシュボードにも現れないリスクだ。スマートコントラクトリスクでも、オラクルリスクでも、通常の意味での流動性リスクでもない。それは建て値リスクだ。プールを裏付ける資産が、第三者の法的権限の指示のもとで、第四者の紛争に関して、資産の発行者によってプールのアドレスに対して取られた行動によって、部分的に毀損される可能性がある。保留中の凍結についてオンチェーンでの開示はなく、影響を受けるプロトコルが通知を受け取る仕組みもない。最初のシグナルは失敗したトランザクションだ。
示唆と未解決の問い
Zamaの凍結はUSDCについて何ら根本的なことを変えるものではない。ブラックリストはデプロイ当初からコントラクトに存在し、コードを調べた研究者はその伝播リスクを原理的には少なくとも理解していた。このインシデントが行うのは、リスクを理論的なものから、具体的な金額と何も悪いことをしていないのに結果的に損失を引き受けることになった特定のプロトコルを伴う、文書化されたものへと変えることだ。
いくつかの未解決の問いが続く。
第一に、プロトコル層での適切な対応とは何か。Compound、Aave、その他のマネーマーケットは原理上、凍結された残高をメインプールから切り離す仕組みを追加できる。フラグの立った預け入れをサイロ化する「コンプライアンスボールト」パターンだ。しかしサイロ化には、後でフラグが立てられる可能性のある資金を預け入れ時に把握する必要があり、それは不可能だ。代替案は、凍結の影響を吸収するバッファ準備金を維持することだが、これは稀なイベントを補助するためにすべての預け入れ者に課す資本税だ。どちらも魅力的ではなく、どちらもスケールで実装されていない。
第二に、レシートトークンはそのエクスポージャーを開示する必要があるか。今日cUSDC、aUSDC、または同様のラッパーを保有するユーザーには、基礎となる資産が凍結されていないことをオンチェーンで確認する方法がない。透明性のプリミティブ — 基礎となるプールの凍結された割合を返す関数 — があれば、下流のプロトコルとユーザーがリスクを価格付けできる。現在主要なラッパーはこれを公開していない。
第三に、DeFiがUSDC建てから多様化する閾値はどこにあるか。現在の集中は、凍結イベントがプールサイズに対して小さく、預け入れ期間に対して稀であるという前提のもとで合理的だ。凍結行動の頻度や規模が拡大した場合 — 制裁執行の拡大、オンチェーン資金に対する民事資産凍結命令の幅広い利用、あるいはその両方によって — コスト・ベネフィットの計算は変わる。分散型ステーブルコイン、マルチコラテラルバスケット、トークン化された国債はそれぞれ部分的な代替手段を提供するが、それぞれに固有のトレードオフを持つ。
第四に、そして最も居心地が悪いことに、Zamaのインシデントは小さなケースだ。cUSDCプールは1,260万ドルの凍結を目に見えるストレスなしに吸収した。関連する問いは、凍結命令がプールの相当部分を占める残高 — 5%、10%、あるいはそれ以上 — を対象とした場合に何が起こるかだ。このスケールでは不可視だった伝播が、より大きなスケールでは流動性イベントとなる。その閾値がどこにあるかは、実験が行われていないためわからない。
言えることは、DeFiの成長の多くを支えてきた前提 — USDCは原則上発行者が管理するものの、実際にはニュートラルなインフラとして機能するという前提 — に、脚注が付いたということだ。その脚注にはこう書かれている。凍結の標的が自分でない場合でも例外は起こり得る、そしてそれがいつ起きるかは事前にわからない、と。
引言
2025年11月,美国一家法院裁定Circle冻结约1260万美元的USDC,这笔资金存放在全同态加密项目Zama运营的一份智能合约中,起因是Overnight Finance提起的一场民事诉讼。令这次冻结有别于Circle每年处理的数十起类似事件的,不是涉案金额,而是被冻结的地址本身。被冻结的余额存放在一份由Zama控制、但Zama本身并未存入资金的合约里——原告声称,那是Compound封装的USDC(cUSDC),其来源是Overnight指控遭到挪用的资金,经过一系列兑换和存入操作后最终流入了Zama运营的金库。
Zama不是被告,Compound不是被告,那些赎回队列如今经由一个被部分冻结的储备池的cUSDC持有者也不是被告。然而,这次在USDC合约层执行的冻结,却波及了所有这些方。一纸针对某一方资产的法院命令,已在事实上损害了与该方毫无关联的协议中的可组合头寸。
这种机制本身并不新鲜。每一种中心化法币支持的稳定币——USDC、USDT、PYUSD、FDUSD——都内置了由发行方控制的黑名单。真正新鲜的,是二阶效应以如此清晰的方式暴露在公众视野之下。当DeFi将USDC视为基础货币,一次在黑名单层面本应精准的操作,在实践中却演变为无差别波及。我们借这一事件来梳理稳定币架构的审查暴露面,考察这一暴露面如何通过可组合协议向外传导,并追问:这次冻结对USDC作为DeFi事实储备资产所依赖的”可信中立”假设究竟意味着什么。
中心化稳定币的黑名单机制
USDC是一种ERC-20代币,其逻辑中包含两个继承自Blacklistable合约的管理函数:blacklist(address) 和 unBlacklist(address)。一旦合约所有者——即Circle——对某个地址调用blacklist,涉及该地址的所有后续转账都将回滚:资金无法转出,发往该地址的资金也无法被接收,实际上该地址与代币的一切交互均被屏蔽。此外,Circle还可通过底层代理的受控升级路径对合约行为进行更广泛的调整,但日常执法所用的原语就是黑名单。
USDT通过Tether的addBlackList函数暴露了类似的控制接口,另设一个destroyBlackFunds函数,允许发行方直接销毁被列入黑名单地址上的余额。PYUSD由Paxos发行,沿用相同模式,对应函数为freeze和wipeFrozenAddress。各家机制在命名上有所差异,实质别无二致:发行方保留拒绝任何特定地址使用其所发行代币的权力。
这背后的理由在受监管的金融体系中直白且几乎无争议:受美国制裁法约束的发行方,不能允许OFAC名单上的地址在其代币中发生交易。同一套机制也被用于依受害方请求追回被盗资金、冻结法院令中点名的资产,以及响应执法部门的传票。Circle公布黑名单操作的汇总数据:累计被列入黑名单的地址数量在数千量级,相对于数以千万计的持有者而言,占比极小。
在USDC的大部分历史中,这种”边缘事件极少、绝大多数人毫无感知”的不对称格局,被解读为一种可接受的折中:该代币在原理上可被审查,但对普通持有者而言,实际表现如同不可审查。Zama事件,正落在原理与实践开始分道扬镳的边界上。
为何黑名单机制存活于代币层
存在一种设计替代方案——部分许可型代币采用——将合规执行置于一个独立的注册合约中,由转账逻辑查询该合约。注册模式的优势在于可组合性:整合了该代币的协议可以读取注册表,自行决定如何处理被标记的交易对手。劣势则在于延迟与分歧:一个不具权威性的注册表,本质上算不上合规控制。
USDC的设计将黑名单直接嵌入转账路径。被屏蔽的地址无论哪份合约发起转账都无法移动代币,因为检查发生在代币合约内部。这正是其审查强度的来源,也是传播问题的根源。一旦余额被冻结,持有该余额的任何合约——无论是否知情、无论是否与争议相关——都会发现自身的记账受到损害。
Zama冻结事件解剖
根据公开文件和Overnight Finance的陈述,重建出的事件经过大致如下:Overnight认定被挪用的资金被兑换成USDC,存入Compound v2铸造cUSDC,生成的cUSDC随后转入Zama运营的合约。Overnight提起诉讼,并获得法院命令,要求Circle冻结与该头寸相关联的底层USDC。Circle予以执行。冻结作用于Compound cUSDC合约中对应争议存款的USDC余额——更准确地说,是以阻止USDC转账的方式,锁定了Zama地址上cUSDC持仓的赎回路径。
一个关键的机制细节:cUSDC并非一对一的封装。它是一种共享池凭证代币。用户将USDC存入Compound v2时,协议按当前汇率铸造cUSDC,存入的USDC进入一个支撑全部流通cUSDC的单一资金池。用户赎回时,销毁cUSDC并从资金池中取回USDC。该资金池具有同质性,不按存款人单独设立子金库。
这意味着,施加于Compound cUSDC资金池的冻结,无法精准隔离某一存款人的份额。它会减少可供所有cUSDC持有者赎回的USDC总量。若资金池中有1260万美元USDC被冻结,资金池的有效储备即减少相应金额,cUSDC的汇率——即资金池USDC与流通cUSDC的比例——对所有持有该代币的人而言均有所受损。
实际执行中,此次冻结的范围似乎仅限于与争议存款对应的特定余额,并未导致整个资金池崩塌;Circle所使用的具体执行机制,目前停留于公开报道层面,并未有合约调用记录披露。但架构层面的论点依然成立:针对某一方经济利益的冻结,若施加于共享凭证代币系统的代币层,就不可避免地触及整个资金池。
利益相关方认定难题
Zama是cUSDC的地址登记持有人。但据指控,这笔资金在任何实质意义上都不属于Zama——报道描述该协议进入这一头寸,不过是其链上运营资金路由的结果。Compound——那个铸造和销毁封装代币的合约所属协议——同样与底层争议毫无关联。两者只是争议价值流经的合约通道。
传统资产冻结令对这一情形有所预设。法院可向持有被告资金的银行发出扣押令,而银行其他储户不受影响,原因在于银行账簿按账户持有人分账管理。DeFi的类比机制在默认情况下并不存在。共享封装合约在代币层没有按存款人分别记账。法院命令作用于代币,落点是整个资金池。
在可组合DeFi中的传播
Zama事件揭示了一类长期潜伏于所有以中心化稳定币计价的DeFi头寸中的风险。我们可以按层次勾勒这种传播路径。
第一层——直接持有。 用户在自己的EOA中持有USDC。黑名单施加于该地址,仅冻结该用户的余额,不波及其他。这是教科书式案例:精准、范围窄,针对明确的恶意行为者时几乎无争议。
第二层——单协议存款。 用户将USDC存入借贷协议或AMM。存款与其他用户的存款共存于同一资金池。若该用户的提款地址事后被列入黑名单,其无法提款,但协议资金池不受直接影响,其他用户正常赎回。然而,一旦黑名单被施加于资金池合约本身——当争议资金与其他资金混同、法院命令直接指向资金池地址时便可能发生——所有存款人的赎回均受损害。
第三层——封装衍生品。 用户持有某种凭证代币(cUSDC、aUSDC、sDAI背后的USDC支撑),其底层由协议合约持有。对协议地址上底层USDC的冻结,按比例损害凭证代币的可赎回性。凭证代币本身可流转,或许已在第三方协议中流通,其价值已在无声中受损。
第四层——二阶组合。 第三层的凭证代币被用作另一借贷市场的抵押品,或注入AMM,或再度封装为生息代币。第三层的损伤以记账偏差的形式向更上层的每一层传导。昨日还健康的头寸可能触发清算;AMM的流动性提供者可能因持有一个预言机仍按面值定价、实际已打折的资产而遭受无常损失。
Zama冻结在实践中似乎被控制在第三层,但向上级联的架构可能性,才是研究者应当持续关注的重点。Compound、Aave、Morpho或其他任何主流货币市场协议中,都不存在可将冻结的子余额从整个资金池中隔离出去的治理机制。共享记账设计是资本效率的基础,在设计之初并未将代币层的对抗性干预纳入考量。
“可信中立”在此语境下的含义
Vitalik Buterin提出的”可信中立”框架——基础设施的规则设计应确保无法被选择性地偏向某一方——最初是在基础层和公共物品融资的语境中发展起来的。DeFi常借用这一表述来描述自身的志向,尤其体现在借贷市场和DEX上。Zama案迫使我们提出一个精确的问题:一个协议的自身逻辑可以是可信中立的,却依然因其计价单位而继承非中立性。Compound没有冻结任何东西,Compound也没有能力冻结任何东西。然而,Compound的资金池却因一个它既无法抗争、也无法绕开的外部行为而受到损害。
以USDC计价的协议,其中立性的上界,不超过USDC本身的中立性。
法律机制与链上机制的接口
Zama冻结事件之所以超越其具体事实而具有更广泛的意义,在于它恰好落在两套体系的接口处——这两套体系对于托管与身份的运作方式持有截然不同的假设。
民事诉讼程序在资产冻结问题上,预设资金有可识别的持有人、持有人对冻结方负有注意义务、冻结可通过正常诉讼程序解除。法院向银行发出扣押令之所以简单明了,是因为银行知道每笔资金归属于谁。
代币合约则预设资金与地址绑定,地址即持有人,合约所有者——若存在——可无需进一步审查便对该地址采取行动。黑名单是二元的:一个地址要么在名单上,要么不在。不存在这样的字段:“因诉讼暂时冻结,待按比例向非被告受益人释放”。
法院命令Circle冻结某地址上的资金时,Circle的合规义务对象是法院。Circle对该地址合约上还有哪些其他方持有权益,并不知情;Circle也没有机制向共享头寸中的非当事受益人退款。黑名单调用执行,下游记账成为旁人的问题。
这不是对Circle合规立场的批评——其合规立场是其所处法律制度的函数。这是对接口本身的观察。整合USDC的DeFi协议,继承的不仅是Circle的合规权力,还有这一权力被行使的粒度——粒度是地址,而非实质权益。
横向比较:USDT、PYUSD与发行方格局
Tether历史上在动用销毁资金功能方面更为积极,通常在重大漏洞事件后配合执法机构行动。PYUSD上线时间较短、流通规模较小,公开行使冻结权力的场合相对有限。主要法币支持稳定币在机械能力上大体相当,政策取向和使用频率则各有差异。
去中心化替代品——现形态的DAI、crvUSD、GHO、USDS——具有不同的审查风险特征。DAI中USDC支持的部分,其可审查性随该部分抵押品一并继承。crvUSD以加密资产为抵押品,不存在发行方层面的黑名单。这一取舍正是DeFi自2020年以来一直在争论的:不可审查的抵押品同时意味着更高的波动性和更高的资本占用,转化为较低吸引力的借贷经济性和更小的可寻址规模。在这一取舍发生实质性转变之前,USDC仍将是大多数大型资金池的储备资产,Zama式事件仍将是一种结构性可能。
cUSDC持有者所继承的风险
暂且将Zama和Overnight搁置一旁,考虑一位与双方均无关联的普通cUSDC持有者的处境。冻结前,其cUSDC是对一个以已知汇率支撑封装代币的USDC资金池按比例份额的索取权。冻结后,其cUSDC仍是对同一资金池的索取权,但可用余额缩减了。封装代币针对未冻结部分的赎回机制依然正常运转,但那个隐性保证——封装代币可按协议汇率完全赎回——已有所折损。
市场如何为此定价?实践中,这种规模的部分冻结针对数亿美元量级的资金池,并未在凭证代币上产生可见的折价,原因在于受损比例较小,且法律程序预期将会解决。但先例本身才是关键。凭证代币的价值,如今被理解为附带条件:过去存款链条上的任何一方,都不能成为法院命令的对象,且该命令的执行须经过该资金池。
这是一种不会出现在任何协议风险仪表盘上的风险。它不是智能合约风险,不是预言机风险,也不是任何标准意义上的流动性风险。它是计价风险:支撑资金池的资产,可能因资产发行方接受第三方法律机构有关第四方争议的指令、对资金池地址采取行动,而遭受部分损伤。链上没有待冻结事项的披露机制,受影响协议也没有订阅通知的渠道。第一个信号,是失败的交易。
影响与待解问题
Zama冻结事件并未改变USDC的任何根本属性。黑名单自部署以来便存在于合约之中,传播风险至少在原理层面,早已被审阅过代码的研究者所理解。此次事件的意义,在于将这种风险从理论层面推向了有据可查的现实——有具体的美元金额,有一个毫无过失却最终承担后果的具体协议。
由此引发了几个待解的问题。
其一,协议层面的适当应对是什么?Compound、Aave及其他货币市场原则上可以增加机制,将冻结余额与资金池其余部分隔离——类似一种”合规子金库”模式,将被标记的存款单独存放。但隔离要求协议在存款时便知道哪些资金日后可能被标记,而这在事前是不可知的。另一种方案是维持一个缓冲储备,以吸收冻结冲击,但这实质上是对每位存款人征收资本税,来补贴极小概率事件。两种方案都缺乏吸引力,也均未在规模化场景下落地。
其二,凭证代币是否需要披露底层敞口?今天持有cUSDC、aUSDC或任何类似封装代币的用户,没有任何链上途径核实底层是否存在被冻结的部分。一个透明度原语——一个返回底层资金池被冻结比例的函数——将使下游协议和用户得以为这一风险定价。目前没有任何主流封装代币暴露这一信息。
其三,DeFi在何种阈值下会开始从USDC计价中分散?当前的高度集中是理性的,前提是假设冻结事件相对于资金池规模足够小、相对于存款周期足够罕见。一旦冻结行为的频率或规模提升——无论是源于制裁执法的扩展、民事资产冻结令对链上资金更广泛的适用,还是两者兼而有之——这一成本收益计算都将发生改变。去中心化稳定币、多抵押品篮子和代币化国债各自提供了部分替代方案,各有其取舍。
其四,也是最令人不安的一点:Zama事件只是一个小案例。cUSDC资金池吸收了1260万美元的冻结,未见明显压力。真正关键的问题是:若冻结令针对的余额占资金池的实质性比例——5%、10%乃至更高——将会发生什么。在当前规模下不可见的传播效应,在更大规模下将演变为一场流动性事件。我们不知道那个临界点在哪里,因为这个实验尚未运行。
我们能够确定的是:支撑DeFi大部分增长的那个假设——USDC虽在原理上由发行方控制,但在实践中表现为中立的基础设施——已经多了一个注脚。注脚的内容是:除非它不再如此,而你可能并非冻结所针对的那一方。
Introducción
En noviembre de 2025, un tribunal estadounidense ordenó a Circle congelar aproximadamente 12,6 millones de dólares en USDC depositados en un contrato inteligente operado por Zama, el proyecto de cifrado totalmente homomórfico, en el marco de una demanda civil interpuesta por Overnight Finance. El detalle que distingue este congelamiento de los decenas que Circle ejecuta cada año no es la cifra en dólares. Es la dirección. El saldo congelado se encontraba en un contrato que Zama controlaba pero en el que no había depositado directamente: se trataba de USDC envuelto en Compound (cUSDC) que, según alega la demandante, provenía de fondos que Overnight afirma fueron malversados y canalizados a través de una serie de swaps y depósitos antes de acabar en un vault operado por Zama.
Zama no es demandada. Compound tampoco. Los titulares de cUSDC cuya cola de canje ahora pasa por una reserva parcialmente congelada tampoco lo son. Y, sin embargo, el congelamiento, ejecutado en la capa del contrato de USDC, los alcanza a todos. Una orden judicial dirigida a los activos de una parte ha perjudicado temporalmente una posición componible en un protocolo que no tiene ninguna relación con esa parte.
No se trata de un mecanismo novedoso. Todas las stablecoins centralizadas respaldadas por moneda fiduciaria —USDC, USDT, PYUSD, FDUSD— se despliegan con una lista negra controlada por el emisor. Lo que sí es novedoso es la visibilidad del efecto de segundo orden. Cuando DeFi trata USDC como dinero base, una acción que la lista negra concibe como quirúrgica se vuelve, en la práctica, indiscriminada. Usamos este incidente para mapear la superficie de censura de la arquitectura de stablecoins, examinar cómo esa superficie se propaga a través de protocolos componibles, y reflexionar sobre lo que el congelamiento implica para los supuestos de neutralidad creíble que justifican la posición de USDC como activo de reserva de facto en DeFi.
El primitivo de lista negra en las stablecoins centralizadas
USDC es un token ERC-20 cuya lógica incluye dos funciones administrativas heredadas de un contrato Blacklistable: blacklist(address) y unBlacklist(address). Cuando el propietario del contrato —Circle— llama a blacklist sobre una dirección, toda transferencia posterior que involucre esa dirección falla. Los fondos en esa dirección no pueden salir; los fondos enviados a ella no pueden recibirse y, en la práctica, la dirección queda excluida de cualquier interacción con el token. Circle también tiene la capacidad, a través de una ruta de actualización controlada sobre el proxy subyacente, de modificar el comportamiento del contrato de forma más amplia, pero el primitivo de aplicación cotidiana es la lista negra.
USDT expone una superficie de control similar a través de la función addBlackList de Tether y una función separada destroyBlackFunds que permite al emisor quemar directamente los saldos de una dirección incluida en la lista. PYUSD, emitida por Paxos, sigue el mismo patrón con freeze y wipeFrozenAddress. Los mecanismos difieren en la nomenclatura; la sustancia es la misma. Los emisores conservan la autoridad para negarle a cualquier dirección específica el uso del token que emiten.
La justificación es directa y, en las finanzas reguladas, mayoritariamente no controvertida: un emisor sujeto a la legislación de sanciones estadounidense no puede permitir que las direcciones incluidas en las listas de la OFAC operen con su token. El mismo primitivo se usa para recuperar fondos robados a petición de las víctimas, congelar activos mencionados en órdenes judiciales y responder a citaciones de las fuerzas del orden. Circle publica estadísticas resumidas sobre las acciones de lista negra; la cifra acumulada es de unos pocos miles de direcciones, frente a decenas de millones de titulares.
Durante la mayor parte de la historia de USDC, esta asimetría entre eventos raros en el margen y una experiencia limpia para todos los demás ha sido interpretada como un compromiso viable. El token es censurable en principio pero, para los titulares ordinarios, se comporta como si no lo fuera. El incidente de Zama se sitúa en la frontera donde el principio y la práctica divergen.
Por qué el primitivo vive en la capa del token
Existe una alternativa de diseño —utilizada por algunos tokens con permisos— en la que el cumplimiento normativo reside en un contrato de registro separado al que consulta la lógica de transferencia. La ventaja del patrón de registro es la componibilidad: los protocolos que integran el token pueden leer el registro y tomar sus propias decisiones sobre cómo manejar una contraparte marcada. La desventaja es la latencia y la falta de autoridad; un registro que no es definitivo no es un control de cumplimiento.
El diseño de USDC embebe la lista negra directamente en el flujo de transferencia. Una dirección bloqueada no puede mover tokens independientemente de qué contrato inicie la transferencia, porque la verificación ocurre dentro del propio contrato del token. Esta es la fuente de su fortaleza para la censura y también la fuente del problema de propagación. Una vez que un saldo es congelado, cualquier contrato que lo mantenga —sea o no consciente de ello, sea o no parte de la disputa— encuentra su propia contabilidad perjudicada.
Anatomía del congelamiento de Zama
La secuencia reportada, reconstruida a partir de los documentos públicos y las alegaciones declaradas por Overnight Finance, se desarrolla aproximadamente así. Los fondos que Overnight identifica como malversados fueron intercambiados por USDC, depositados en Compound v2 para acuñar cUSDC, y el cUSDC resultante fue transferido a un contrato operado por Zama. Overnight presentó la demanda y obtuvo una orden judicial que instruía a Circle a congelar el USDC subyacente asociado a esa posición. Circle cumplió. El congelamiento se aplicó al saldo de USDC que mantenía el contrato cUSDC de Compound correspondiente al depósito en disputa —o, más precisamente, impidió las transferencias de USDC de forma que bloqueó la ruta de canje de las tenencias de cUSDC depositadas en la dirección de Zama.
El detalle mecánico que importa: cUSDC no es un wrapper uno a uno. Es un token de recibo agrupado. Cuando un usuario deposita USDC en Compound v2, el protocolo acuña cUSDC al tipo de cambio vigente, y el USDC depositado entra en un pool único que respalda todo el cUSDC en circulación. Cuando un usuario canjea, quema cUSDC y recibe USDC del pool. El pool es fungible. No existe un vault separado por depositante.
Esto significa que un congelamiento aplicado al pool cUSDC de Compound no aísla quirúrgicamente el derecho de un solo depositante. Reduce el USDC canjeable disponible para todos los titulares de cUSDC. Si 12,6 millones de dólares en USDC del pool quedan congelados, la reserva efectiva del pool disminuye en esa cantidad, y el tipo de cambio del cUSDC —la proporción entre el USDC del pool y el cUSDC en circulación— se deteriora para todos los que mantienen el token.
En la práctica, el congelamiento parece haber sido delimitado al saldo específico correspondiente al depósito en disputa y no ha colapsado el pool entero, y el mecanismo de ejecución preciso que Circle utilizó sigue siendo una cuestión de reportes públicos y no de llamadas a contratos reveladas. Pero el punto arquitectónico se mantiene: un congelamiento que apunta al interés económico de una parte, aplicado en la capa del token de un sistema de token de recibo agrupado, no puede evitar tocar el pool.
El problema de la parte interesada
Zama es la titular de registro del cUSDC. Los fondos, tal como se alega, no pertenecen a Zama en ningún sentido significativo: se describe en los reportes que el protocolo acabó en esa posición en virtud de cómo sus operaciones on-chain enrutan los flujos. Compound, el protocolo cuyo contrato acuña y quema el wrapper, tampoco es parte en la disputa subyacente. Ambos son simplemente contratos por los que pasó el valor en disputa.
Las órdenes de congelamiento de activos en el ámbito tradicional contemplan este escenario. Un tribunal puede emitir órdenes de embargo contra bancos que mantienen fondos de un demandado, y los demás depositantes del banco no se ven afectados porque la contabilidad del banco está segregada por titular de cuenta. El análogo en DeFi no existe por defecto. Un wrapper agrupado no tiene contabilidad por depositante en la capa del token. La orden judicial, ejecutada contra el token, aterriza sobre el pool.
Propagación a través de DeFi componible
El incidente de Zama ilustra una clase de riesgo que ha estado latente en toda posición de DeFi denominada en stablecoins centralizadas. Podemos esbozar la propagación en capas.
Capa 1 — tenencia directa. Un usuario mantiene USDC en su propia EOA. Una lista negra aplicada a esa dirección congela el saldo del usuario y nada más. Este es el caso clásico: quirúrgico, acotado y, en su mayor parte, no controvertido cuando se aplica a actores claramente maliciosos.
Capa 2 — depósito en protocolo único. Un usuario deposita USDC en un protocolo de préstamos o un AMM. El depósito convive en un pool con los depósitos de otros usuarios. Si la dirección de retiro del usuario es incluida posteriormente en la lista negra, no podrá retirar. El pool del protocolo no se ve directamente afectado; los demás usuarios pueden canjear con normalidad. Pero si la lista negra se aplica al propio contrato del pool —como puede ocurrir cuando los fondos en disputa se han mezclado y un tribunal ordena el congelamiento en la dirección del pool—, el canje de todos los depositantes queda perjudicado.
Capa 3 — derivado envuelto. Un usuario mantiene un token de recibo (cUSDC, aUSDC, el respaldo en USDC de sDAI) cuyo subyacente está en manos de un contrato de protocolo. Un congelamiento aplicado al USDC subyacente en la dirección del protocolo afecta la canjeabilidad del token de recibo de forma proporcional. El token de recibo es en sí mismo transferible y puede circular en protocolos de terceros, donde su valor ha disminuido de forma silenciosa.
Capa 4 — composición de segundo grado. El token de recibo de la Capa 3 se usa como colateral en otro mercado de préstamos, se suministra a un AMM, o se envuelve nuevamente en un token generador de rendimiento. El deterioro en la Capa 3 se propaga como desviación contable a través de todas las capas superiores. Pueden desencadenarse liquidaciones en posiciones que ayer eran saludables. Los LPs de AMMs pueden experimentar pérdida impermanente frente a un activo ahora descontado que el oráculo sigue valorando a la par.
El congelamiento de Zama parece haberse contenido en la Capa 3 en términos prácticos, pero la posibilidad arquitectónica de escalada es lo que debería mantener la atención de los investigadores. No existe ningún mecanismo de gobernanza dentro de Compound, Aave, Morpho ni ningún otro mercado monetario importante que pueda aislar un subsaldo congelado del resto del pool. El diseño de contabilidad agrupada es estructuralmente esencial para la eficiencia del capital y no fue construido pensando en intervenciones adversariales en la capa del token.
Qué significa “creíblemente neutral” en este contexto
El concepto de neutralidad creíble de Vitalik Buterin —que la infraestructura debe diseñarse de modo que sus reglas no puedan doblarse selectivamente en favor de una parte— fue desarrollado en el contexto de las capas base y la financiación de bienes públicos. DeFi ha tomado prestada con frecuencia esa expresión para describir sus propias aspiraciones, particularmente en torno a los mercados de préstamos y los DEXs. El caso Zama plantea una pregunta precisa: un protocolo puede ser creíblemente neutral en su propia lógica y, aun así, heredar no neutralidad de su denominación. Compound no congeló nada. Compound no puede congelar nada. Y, sin embargo, el pool de Compound fue perjudicado por una acción externa que ni pudo impugnar ni esquivar.
La neutralidad de un protocolo denominado en USDC tiene como límite superior la neutralidad del propio USDC.
La interfaz legal-mecánica
Lo que hace que el congelamiento de Zama resulte interesante más allá de sus hechos inmediatos es que se sitúa en la interfaz entre dos sistemas con supuestos diferentes sobre cómo funcionan la custodia y la identidad.
El procedimiento civil, en lo que respecta a los congelamientos de activos, asume que los fondos tienen un titular identificable, que ese titular tiene un deber de custodia frente a la parte que solicita el congelamiento, y que la medida puede deshacerse a través del proceso judicial ordinario. Una orden de embargo contra un banco es sencilla porque el banco sabe quién posee qué.
Los contratos de tokens asumen que los fondos tienen una dirección, que la dirección es el titular, y que el propietario del contrato —cuando existe uno— puede actuar sobre esa dirección sin más indagación. La lista negra es binaria: una dirección o está o no está en la lista. No hay campo para «congelado pendiente de litigio, sujeto a liberación prorrateada para beneficiarios no demandados».
Cuando un tribunal ordena a Circle congelar fondos en una dirección, la obligación de cumplimiento de Circle es con el tribunal. Circle no tiene visibilidad sobre quién más tiene derechos frente al contrato en esa dirección. Circle no tiene un mecanismo para reembolsar a los beneficiarios no implicados de una posición agrupada. La llamada a la lista negra se ejecuta; la contabilidad posterior se convierte en el problema de otro.
Esto no es una crítica a la postura de cumplimiento de Circle, que es una función del régimen legal bajo el que opera. Es una observación sobre la interfaz. Los protocolos DeFi que integran USDC heredan no solo la autoridad de cumplimiento de Circle, sino también la granularidad con la que esa autoridad se ejerce —que es la dirección, no el interés económico subyacente.
Comparación: USDT, PYUSD y el panorama de emisores
Tether ha sido históricamente más agresivo en el uso de su capacidad de destrucción de fondos, a menudo en coordinación con las fuerzas del orden tras grandes exploits. PYUSD, al ser más reciente y estar menos en circulación, ha tenido menos ocasiones para ejercer públicamente su autoridad de congelamiento. La capacidad mecánica entre las principales stablecoins respaldadas por moneda fiduciaria es broadly similar; la política y la frecuencia de uso difieren.
Las alternativas descentralizadas —DAI en su forma actual, crvUSD, GHO, USDS— tienen perfiles de censura distintos. La porción de DAI respaldada por USDC hereda la censurabilidad de USDC en esa fracción de su colateral. crvUSD, respaldado por colateral cripto, no tiene una lista negra a nivel de emisor. La disyuntiva es la que DeFi ha debatido desde 2020: el colateral que no es censurable también es más volátil y más intensivo en capital, lo que se traduce en condiciones de préstamo menos atractivas y una escala direccionable menor. Hasta que esa disyuntiva cambie, USDC seguirá siendo el activo de reserva de la mayoría de los grandes pools, y la clase de incidentes tipo Zama seguirá siendo una posibilidad estructural.
Lo que heredan los titulares de cUSDC
Dejemos de lado por un momento a Zama y Overnight y consideremos la posición de un titular de cUSDC no relacionado que no tuvo ninguna participación en el asunto. Antes del congelamiento, su cUSDC era un derecho sobre una participación prorrateada de un pool de USDC cuyo saldo nominal respaldaba el wrapper a un tipo de cambio conocido. Después del congelamiento, su cUSDC es un derecho sobre el mismo pool con un saldo utilizable menor. La mecánica de canje del token sigue funcionando para la porción no congelada, pero la garantía implícita —que el wrapper es totalmente canjeable al tipo de cambio del protocolo— se ha deteriorado.
¿Cómo valora el mercado esto? En la práctica, los congelamientos parciales de este tamaño contra pools de cientos de millones de dólares no han producido descuentos visibles en el token de recibo, porque la fracción perjudicada es pequeña y se espera que el proceso legal se resuelva. Pero lo que importa es el precedente. El valor de un token de recibo se entiende ahora como condicional a que ninguna parte de la cadena de depositantes pasados esté sujeta a una orden judicial cuya ejecución pase por el pool.
Este es un riesgo que no aparece en el panel de riesgos de ningún protocolo. No es un riesgo de contrato inteligente, no es un riesgo de oráculo, no es un riesgo de liquidez en ningún sentido estándar. Es un riesgo de denominación: el activo que respalda el pool puede verse parcialmente perjudicado por acciones tomadas contra la dirección del pool por el emisor del activo, siguiendo instrucciones de una autoridad legal externa, respecto a una disputa de una cuarta parte. No existe divulgación on-chain de congelamientos pendientes. No hay mecanismo para que los protocolos afectados se suscriban a notificaciones. La primera señal es la transacción fallida.
Implicaciones y preguntas abiertas
El congelamiento de Zama no cambia nada fundamental respecto a USDC. La lista negra ha estado en el contrato desde su despliegue, y el riesgo de propagación ha sido comprendido, al menos en principio, por los investigadores que han analizado el código. Lo que el incidente logra es desplazar ese riesgo de teórico a documentado, con una cifra en dólares específica y un protocolo concreto que no hizo nada malo y, aun así, acabó cargando con las consecuencias.
De ahí se derivan varias preguntas abiertas.
Primera, ¿cuál es la respuesta apropiada en la capa del protocolo? Compound, Aave y otros mercados monetarios podrían, en principio, añadir mecanismos para aislar los saldos congelados —un patrón de «vault de cumplimiento» donde los depósitos marcados queden segregados del pool principal. Pero aislar requiere que el protocolo sepa, en el momento del depósito, qué fondos es probable que sean marcados más adelante, lo cual no es cognoscible. La alternativa es mantener una reserva de buffer que absorba el impacto de los congelamientos, lo que supone un impuesto al capital para cada depositante para subsidiar el evento infrecuente. Ninguna de las dos opciones es atractiva, y ninguna ha sido implementada a escala.
Segunda, ¿debería el token de recibo divulgar su exposición? Un usuario que hoy mantiene cUSDC, aUSDC o cualquier wrapper similar no tiene forma on-chain de verificar que ninguna porción del subyacente esté congelada. Un primitivo de transparencia —una función que devuelva la fracción congelada del pool subyacente— permitiría a los protocolos y usuarios aguas abajo valorar el riesgo. Ningún wrapper importante expone actualmente esto.
Tercera, ¿cuál es el umbral a partir del cual DeFi diversifica su denominación alejándose de USDC? La concentración actual es racional bajo el supuesto de que los eventos de congelamiento permanecen pequeños en relación con el tamaño del pool y son poco frecuentes en relación con la duración del depósito. Si la frecuencia o el tamaño de las acciones de congelamiento escala —ya sea a través de una aplicación ampliada de sanciones, un uso más extendido de órdenes civiles de congelamiento de activos contra fondos on-chain, o ambas— el cálculo coste-beneficio cambia. Las stablecoins descentralizadas, las cestas multicolateral y los tesoros tokenizados ofrecen sustitutos parciales, cada uno con sus propios compromisos.
Cuarta, y la más incómoda, el incidente de Zama es un caso menor. El pool de cUSDC absorbió un congelamiento de 12,6 millones de dólares sin estrés observable. La pregunta relevante es qué ocurre cuando una orden de congelamiento apunta a un saldo que representa una fracción material de un pool —el cinco por ciento, el diez por ciento, o más. La propagación que fue invisible a esta escala se convierte en un evento de liquidez a una mayor. No sabemos dónde se sitúa ese umbral porque el experimento no se ha llevado a cabo.
Lo que sí podemos afirmar es que el supuesto que sustenta gran parte del crecimiento de DeFi —que USDC, si bien es controlado por el emisor en principio, se comporta en la práctica como infraestructura neutral— ha adquirido una nota a pie de página. Esa nota dice: excepto cuando no lo hace, y puede que tú no seas la parte a la que iba dirigido el congelamiento.