Le protocole de rendement DeFi basé sur Solana, Carrot, a annoncé une fermeture permanente après que les pertes liées à l'exploit du protocole Drift l'aient rendu incapable de poursuivre ses opérations.

Selon une déclaration publiée par Carrot sur X jeudi, l'attaque du 1er avril sur Drift s'est avérée "catastrophique" pour le protocole, forçant l'équipe à cesser ses services et à fixer le 14 mai comme date limite pour le retrait des fonds restants par les utilisateurs. L'équipe a déclaré qu'elle continuerait à aider aux efforts de récupération liés à Drift et à distribuer les actifs une fois récupérés.

« Nous fixons le 14 mai comme date limite pour retirer tous les fonds restants de Boost, Turbo et CRT avant de commencer à désendetter le système. Vos fonds déposés sont toujours les vôtres, mais tout effet de levier sera réduit à zéro, libérant toute la liquidité pour le rachat de CRT », a déclaré l'équipe.

Intégré à l'infrastructure de Drift, Carrot s'appuyait sur ses pools de liquidités pour générer du rendement, ce qui l'a exposé lorsque l'exploit a drainé une grande partie de la valeur totale verrouillée de Drift. Les données de DefiLlama montrent que la TVL de Carrot est passée d'environ 28 millions de dollars avant l'incident à 1,99 million de dollars, soit une chute d'environ 93 %.

Le protocole Drift a déclaré le 5 avril que l'exploit avait été précédé de mois de préparation, au cours desquels les attaquants avaient tissé des liens de confiance avec des contributeurs via des rencontres en personne et des contacts en ligne avant de livrer des outils malveillants. Des estimations externes ont chiffré les pertes de l'attaque à environ 280 millions de dollars, tandis que Drift a décrit la campagne comme organisée et soutenue par des ressources importantes.

Selon l'examen de Drift, le contact avec les attaquants a commencé vers octobre 2025, lorsque des individus se faisant passer pour des membres d'une société de trading quantitatif ont approché des contributeurs lors d'une conférence crypto et ont ensuite maintenu des relations lors de multiples événements de l'industrie. L'échange a déclaré que ces interactions ont permis au groupe de gagner la confiance avant de compromettre les appareils et d'exécuter l'exploit.

Drift a ajouté qu'il avait une « confiance moyenne à élevée » que les mêmes acteurs étaient impliqués dans la violation de Radiant Capital en octobre 2024, qui a entraîné environ 58 millions de dollars de pertes et impliquait des logiciels malveillants distribués via Telegram.

L'impact s'est étendu au-delà de Carrot. Des projets liés à Drift, notamment Gauntlet, PrimeFi et Elemental DeFi, ont également signalé des perturbations suite à l'exploit.

Les données de DefiLlama montrent qu'avril a enregistré près de 630 millions de dollars de pertes crypto sur 25 incidents, ce qui en fait le mois le plus important en termes d'exploits depuis février 2025, lorsque les pertes avaient atteint 1,47 milliard de dollars. L'attaque de 293 millions de dollars sur Kelp reste le plus grand exploit de 2026 à ce jour, suivie par la brèche de Drift à environ 285 millions de dollars, les deux incidents représentant plus de 90 % des pertes totales d'avril.