Het op Solana gebaseerde DeFi-opbrengstprotocol Carrot heeft een permanente sluiting aangekondigd nadat verliezen gerelateerd aan de exploit van Drift Protocol het onmogelijk maakten om de activiteiten voort te zetten.

Volgens een verklaring die Carrot donderdag op X plaatste, bleek de aanval op Drift op 1 april “catastrofaal” voor het protocol, waardoor het team gedwongen werd de diensten af te bouwen en 14 mei vast te stellen als deadline voor gebruikers om resterende fondsen op te nemen. Het team zei dat het zal blijven helpen bij de herstelpogingen die verband houden met Drift en activa zal distribueren zodra deze zijn teruggevonden.

“We stellen 14 mei vast als de deadline om resterende fondsen van Boost, Turbo en CRT op te nemen voordat we het systeem zullen deleveren. Uw gestorte fondsen zijn nog steeds van u, maar alle hefboomwerking zal tot nul worden teruggebracht, waardoor alle liquiditeit vrijkomt voor CRT-inwisseling,” aldus het team.

Geïntegreerd met de infrastructuur van Drift, vertrouwde Carrot op de liquiditeitspools om rendement te genereren, wat het kwetsbaar maakte toen de exploit een groot deel van Drift’s Total Value Locked (TVL) leegzoog. Gegevens van DefiLlama tonen aan dat de TVL van Carrot daalde van ongeveer $28 miljoen vóór het incident naar $1,99 miljoen, een daling van ruwweg 93%.

Drift Protocol verklaarde op 5 april dat de exploit het gevolg was van maandenlange voorbereiding, waarbij aanvallers het vertrouwen wonnen van medewerkers via persoonlijke ontmoetingen en online contact voordat ze kwaadaardige tools leverden. Externe schattingen plaatsten de verliezen van de aanval op ongeveer $280 miljoen, terwijl Drift de campagne omschreef als georganiseerd en gesteund door aanzienlijke middelen.

Volgens het onderzoek van Drift begon het contact met de aanvallers rond oktober 2025, toen individuen die zich voordeden als leden van een kwantitatief handelsbedrijf medewerkers benaderden op een cryptoconferentie en later relaties onderhielden op meerdere branche-evenementen. De beurs zei dat die interacties de groep in staat stelden vertrouwen te winnen voordat ze apparaten compromitteerden en de exploit uitvoerden.

Drift voegde eraan toe dat het “middelhoog vertrouwen” heeft dat dezelfde actoren betrokken waren bij de inbreuk op Radiant Capital in oktober 2024, wat resulteerde in ongeveer $58 miljoen aan verliezen en waarbij malware werd verspreid via Telegram.

De impact heeft zich verder uitgebreid dan Carrot. Projecten die verbonden zijn met Drift, waaronder Gauntlet, PrimeFi en Elemental DeFi, hebben ook verstoringen gemeld na de exploit.

Gegevens van DefiLlama tonen aan dat april bijna $630 miljoen aan cryptoverliezen registreerde verspreid over 25 incidenten, waarmee het de grootste maand was voor exploits sinds februari 2025, toen de verliezen $1,47 miljard bedroegen. De aanval van $293 miljoen op Kelp blijft de grootste exploit van 2026 tot nu toe, gevolgd door de Drift-inbreuk van ruwweg $285 miljoen, waarbij beide incidenten meer dan 90% van de totale verliezen van april voor hun rekening namen.