Carrot Annonserer Permanent Nedstengning
Det Solana-baserte DeFi-avkastningsprotokollet Carrot har annonsert en permanent nedstengning etter tap knyttet til utnyttelsen av Drift Protocol, som gjorde det umulig for dem å fortsette driften. Ifølge en uttalelse lagt ut av Carrot på X torsdag, viste angrepet 1. april på Drift seg å være «katastrofalt» for protokollen, noe som tvang teamet til å avvikle tjenestene og sette 14. mai som frist for brukere til å ta ut gjenværende midler.
Frist for Uttak av Midler
Teamet sa at de vil fortsette å bistå med gjenopprettingsarbeidet knyttet til Drift og distribuere eiendeler når de er gjenopprettet.
«Vi setter 14. mai som frist for å ta ut eventuelle gjenværende midler fra Boost, Turbo og CRT før vi begynner å redusere systemet. Dine innskudd er fortsatt dine, men all giring vil bli redusert til null, noe som frigjør all likviditet for CRT-innløsning,»
sa teamet.
Tap og Sårbarhet
Integrert med Drifts infrastruktur, var Carrot avhengig av likviditetspoolene sine for å generere avkastning, noe som gjorde dem sårbare når utnyttelsen tappet en stor del av Drifts totale verdi låst. DefiLlama-data viser at Carrots TVL falt fra omtrent 28 millioner dollar før hendelsen til 1,99 millioner dollar, en nedgang på omtrent 93%.
Utnyttelsen av Drift Protocol
Drift Protocol sa 5. april at utnyttelsen fulgte måneder med forberedelser, der angriperne bygde tillit med bidragsytere gjennom fysiske møter og online kontakt før de leverte ondsinnede verktøy. Eksterne estimater plasserte tapene fra angrepet til omtrent 280 millioner dollar, mens Drift beskrev kampanjen som organisert og støttet av betydelige ressurser.
Angripernes Strategi
Ifølge Drifts gjennomgang begynte kontakten med angriperne rundt oktober 2025, da individer som utga seg for å være medlemmer av et kvantitativt handelsfirma, nærmet seg bidragsytere på en kryptokonferanse og senere opprettholdt relasjoner på flere bransjehendelser. Børsen sa at disse interaksjonene gjorde det mulig for gruppen å oppnå tillit før de kompromitterte enheter og utførte utnyttelsen.
Konsekvenser for Andre Prosjekter
Drift la til at de har «moderat-høy tillit» til at de samme aktørene var involvert i Radiant Capital-bruddet i oktober 2024, som resulterte i omtrent 58 millioner dollar i tap og involverte skadelig programvare distribuert gjennom Telegram. Påvirkningen har strukket seg utover Carrot. Prosjekter knyttet til Drift, inkludert Gauntlet, PrimeFi og Elemental DeFi, har også rapportert om forstyrrelser etter utnyttelsen.
Statistikk over Kryptotap
DefiLlama-data viser at april registrerte nesten 630 millioner dollar i kryptotap over 25 hendelser, noe som gjør det til den største måneden for utnyttelser siden februar 2025, da tapene nådde 1,47 milliarder dollar. Angrepet på 293 millioner dollar mot Kelp forblir den største utnyttelsen i 2026 så langt, etterfulgt av Drift-bruddet på omtrent 285 millioner dollar, med begge hendelsene som står for mer enn 90% av aprils totale tap.
