Schließung des Carrot DeFi-Yield-Protokolls
Das auf Solana basierende DeFi-Yield-Protokoll Carrot hat die dauerhafte Schließung seiner Dienste angekündigt, nachdem es durch Verluste im Zusammenhang mit dem Drift-Protokoll-Exploits nicht mehr in der Lage war, den Betrieb fortzusetzen. In einer am Donnerstag auf X veröffentlichten Erklärung bezeichnete das Team den Angriff auf Drift am 1. April als „katastrophal“ und gab bekannt, dass die Nutzer bis zum 14. Mai Zeit haben, um ihre verbleibenden Gelder abzuheben.
Wiederherstellungsbemühungen und Fristen
Das Team erklärte, dass es weiterhin bei den Wiederherstellungsbemühungen im Zusammenhang mit Drift unterstützen und Vermögenswerte verteilen werde, sobald diese wiederhergestellt sind. „Wir setzen den 14. Mai als Frist, um alle verbleibenden Gelder von Boost, Turbo und CRT abzuheben, bevor wir mit der Entschuldung des Systems beginnen. Ihre eingezahlten Gelder gehören weiterhin Ihnen, aber alle Hebel werden auf null reduziert, wodurch alle Liquidität für die CRT-Einlösung freigegeben wird“, so das Team.
Auswirkungen des Drift-Exploits
Carrot, das auf die Infrastruktur von Drift angewiesen war, um Erträge zu generieren, wurde besonders anfällig, als der Exploit einen Großteil des insgesamt gesperrten Wertes von Drift abfließen ließ. Daten von DefiLlama zeigen, dass der Total Value Locked (TVL) von Carrot von etwa 28 Millionen Dollar vor dem Vorfall auf 1,99 Millionen Dollar fiel, was einem Rückgang von etwa 93 % entspricht.
Details zum Drift-Exploit
Das Drift-Protokoll gab am 5. April bekannt, dass der Exploit monatelanger Vorbereitung folgte, während der Angreifer Vertrauen bei den Mitwirkenden durch persönliche Treffen und Online-Kontakt aufbaute, bevor er bösartige Werkzeuge lieferte. Externe Schätzungen beziffern die Verluste durch den Angriff auf etwa 280 Millionen Dollar, während Drift die Kampagne als organisiert und mit erheblichen Ressourcen unterstützt beschrieb. Laut der Überprüfung von Drift begann der Kontakt mit den Angreifern etwa im Oktober 2025, als sich Personen als Mitglieder einer quantitativen Handelsfirma ausgaben und Mitwirkende auf einer Krypto-Konferenz ansprachen. Diese Beziehungen wurden über mehrere Branchenveranstaltungen aufrechterhalten.
Folgen für andere Projekte
Die Börse erklärte, dass diese Interaktionen der Gruppe ermöglichten, Vertrauen zu gewinnen, bevor sie Geräte kompromittierten und den Exploit ausführten. Drift fügte hinzu, dass sie „mittel-hohe Zuversicht“ haben, dass dieselben Akteure auch am Radiant Capital-Angriff im Oktober 2024 beteiligt waren, der zu Verlusten von etwa 58 Millionen Dollar führte und Malware beinhaltete, die über Telegram verteilt wurde.
Gesamtverluste im Krypto-Markt
Die Auswirkungen des Angriffs haben über Carrot hinausgegriffen. Projekte, die mit Drift verbunden sind, darunter Gauntlet, PrimeFi und Elemental DeFi, berichteten ebenfalls von Störungen nach dem Exploit. Daten von DefiLlama zeigen, dass der April fast 630 Millionen Dollar an Krypto-Verlusten über 25 Vorfälle verzeichnete, was ihn zum größten Monat für Exploits seit Februar 2025 macht, als die Verluste 1,47 Milliarden Dollar erreichten. Der 293 Millionen Dollar schwere Angriff auf Kelp bleibt bisher der größte Exploit von 2026, gefolgt vom Drift-Angriff mit etwa 285 Millionen Dollar, wobei beide Vorfälle mehr als 90 % der Gesamtschäden im April ausmachten.
