پروتکل بازدهی دیفای مبتنی بر سولانا، Carrot، تعطیلی دائمی خود را پس از زیان‌های مرتبط با اکسپلویت پروتکل Drift اعلام کرده است که آن را قادر به ادامه فعالیت نساخت.

بر اساس بیانیه‌ای که Carrot روز پنجشنبه در X منتشر کرد، حمله اول آوریل به Drift برای این پروتکل "فاجعه‌بار" بود و تیم را مجبور به توقف خدمات و تعیین ۱۴ می به عنوان آخرین مهلت برای کاربران جهت برداشت وجوه باقی‌مانده کرد. تیم اعلام کرد که به کمک‌رسانی به تلاش‌های بازیابی مرتبط با Drift ادامه خواهد داد و دارایی‌ها را پس از بازیابی توزیع خواهد کرد.

تیم گفت: "ما ۱۴ می را به عنوان آخرین مهلت برای برداشت هرگونه وجوه باقی‌مانده از Boost، Turbo و CRT تعیین می‌کنیم، قبل از آنکه شروع به کاهش اهرم (deleveraging) سیستم کنیم. وجوه سپرده‌گذاری شده شما همچنان متعلق به شماست، اما تمام اهرم به صفر کاهش خواهد یافت و تمام نقدینگی برای بازخرید CRT آزاد خواهد شد."

Carrot که با زیرساخت Drift یکپارچه شده بود، برای تولید بازدهی به استخرهای نقدینگی آن متکی بود، که این امر آن را در معرض آسیب قرار داد زمانی که اکسپلویت بخش بزرگی از ارزش کل قفل شده Drift را تخلیه کرد. داده‌های DefiLlama نشان می‌دهد که TVL Carrot از حدود ۲۸ میلیون دلار قبل از حادثه به ۱.۹۹ میلیون دلار کاهش یافته است که کاهشی تقریباً ۹۳ درصدی است.

پروتکل Drift در ۵ آوریل اعلام کرد که این اکسپلویت پس از ماه‌ها آماده‌سازی رخ داده است، که طی آن مهاجمان از طریق جلسات حضوری و تماس آنلاین با مشارکت‌کنندگان اعتماد ایجاد کردند و سپس ابزارهای مخرب را ارائه دادند. برآوردهای خارجی زیان‌های ناشی از حمله را حدود ۲۸۰ میلیون دلار تخمین زدند، در حالی که Drift این کمپین را سازمان‌یافته و با پشتیبانی منابع قابل توجه توصیف کرد.

بر اساس بررسی Drift، تماس با مهاجمان حدود اکتبر ۲۰۲۵ آغاز شد، زمانی که افرادی که خود را اعضای یک شرکت تجارت کمی معرفی می‌کردند، در یک کنفرانس رمزنگاری به مشارکت‌کنندگان نزدیک شدند و بعداً روابط خود را در چندین رویداد صنعتی حفظ کردند. این صرافی گفت که این تعاملات به گروه اجازه داد تا اعتماد را جلب کرده و سپس دستگاه‌ها را به خطر انداخته و اکسپلویت را اجرا کنند.

Drift افزود که "اطمینان متوسط تا بالا" دارد که همین بازیگران در نقض امنیت Radiant Capital در اکتبر ۲۰۲۴ دخیل بودند، که منجر به زیان‌های حدود ۵۸ میلیون دلاری شد و شامل بدافزاری بود که از طریق تلگرام توزیع شده بود.

تأثیر این حادثه فراتر از Carrot رفته است. پروژه‌های مرتبط با Drift، از جمله Gauntlet، PrimeFi و Elemental DeFi، نیز پس از این اکسپلویت، اختلالاتی را گزارش کرده‌اند.

داده‌های DefiLlama نشان می‌دهد که آوریل تقریباً ۶۳۰ میلیون دلار زیان کریپتو را در ۲۵ حادثه ثبت کرده است، که آن را به بزرگترین ماه از نظر اکسپلویت‌ها از فوریه ۲۰۲۵ تبدیل می‌کند، زمانی که زیان‌ها به ۱.۴۷ میلیارد دلار رسید. حمله ۲۹۳ میلیون دلاری به Kelp همچنان بزرگترین اکسپلویت سال ۲۰۲۶ تا کنون است، و پس از آن نقض امنیت Drift با تقریباً ۲۸۵ میلیون دلار قرار دارد، به طوری که هر دو حادثه بیش از ۹۰ درصد از کل زیان‌های آوریل را تشکیل می‌دهند.