Protokol imbal hasil DeFi berbasis Solana, Carrot, telah mengumumkan penutupan permanen setelah kerugian terkait eksploitasi Drift Protocol membuatnya tidak dapat melanjutkan operasinya.
Menurut pernyataan yang diunggah oleh Carrot di X pada hari Kamis, serangan 1 April terhadap Drift terbukti "bencana" bagi protokol tersebut, memaksa tim untuk menghentikan layanan dan menetapkan 14 Mei sebagai batas waktu bagi pengguna untuk menarik dana yang tersisa. Tim mengatakan akan terus membantu upaya pemulihan terkait Drift dan mendistribusikan aset setelah berhasil dipulihkan.
“Kami menetapkan 14 Mei sebagai batas waktu untuk menarik dana yang tersisa dari Boost, Turbo, dan CRT sebelum kami kemudian akan mulai mengurangi leverage sistem. Dana yang Anda setorkan masih milik Anda, tetapi semua leverage akan dikurangi menjadi nol, membebaskan semua likuiditas untuk penukaran CRT,” kata tim.
Terintegrasi dengan infrastruktur Drift, Carrot mengandalkan kumpulan likuiditasnya untuk menghasilkan imbal hasil, yang membuatnya rentan ketika eksploitasi menguras sebagian besar total nilai terkunci (TVL) Drift. Data DefiLlama menunjukkan TVL Carrot turun dari sekitar $28 juta sebelum insiden menjadi $1,99 juta, penurunan sekitar 93%.
Drift Protocol menyatakan pada 5 April bahwa eksploitasi tersebut terjadi setelah berbulan-bulan persiapan, di mana para penyerang membangun kepercayaan dengan kontributor melalui pertemuan tatap muka dan kontak daring sebelum mengirimkan alat berbahaya. Estimasi eksternal menempatkan kerugian dari serangan tersebut sekitar $280 juta, sementara Drift menggambarkan kampanye tersebut terorganisasi dan didukung oleh sumber daya yang signifikan.
Menurut tinjauan Drift, kontak dengan para penyerang dimulai sekitar Oktober 2025, ketika individu yang menyamar sebagai anggota perusahaan perdagangan kuantitatif mendekati kontributor di konferensi kripto dan kemudian menjaga hubungan di berbagai acara industri. Bursa tersebut mengatakan bahwa interaksi tersebut memungkinkan kelompok tersebut untuk mendapatkan kepercayaan sebelum mengkompromikan perangkat dan melakukan eksploitasi.
Drift menambahkan bahwa mereka memiliki "keyakinan sedang hingga tinggi" bahwa aktor yang sama terlibat dalam pelanggaran Radiant Capital pada Oktober 2024, yang mengakibatkan kerugian sekitar $58 juta dan melibatkan malware yang didistribusikan melalui Telegram.
Dampak ini telah melampaui Carrot. Proyek-proyek yang terhubung dengan Drift, termasuk Gauntlet, PrimeFi, dan Elemental DeFi, juga telah melaporkan gangguan menyusul eksploitasi tersebut.
Data DefiLlama menunjukkan bahwa April mencatat hampir $630 juta kerugian kripto dari 25 insiden, menjadikannya bulan terbesar untuk eksploitasi sejak Februari 2025, ketika kerugian mencapai $1,47 miliar. Serangan $293 juta terhadap Kelp tetap menjadi eksploitasi terbesar tahun 2026 sejauh ini, diikuti oleh pelanggaran Drift sekitar $285 juta, dengan kedua insiden tersebut menyumbang lebih dari 90% dari total kerugian April.
