El Cierre del Protocolo Carrot
El protocolo de rendimiento DeFi basado en Solana, Carrot, ha anunciado su cierre permanente tras las pérdidas ocasionadas por la explotación del Protocolo Drift, lo que lo ha dejado incapaz de continuar sus operaciones. Según un comunicado publicado por Carrot en X el jueves, el ataque del 1 de abril a Drift resultó ser «catastrófico» para el protocolo, obligando al equipo a cerrar los servicios y estableciendo el 14 de mayo como la fecha límite para que los usuarios retiren los fondos restantes.
Detalles del Cierre y Recuperación
El equipo de Carrot indicó que continuará asistiendo en los esfuerzos de recuperación relacionados con Drift y distribuirá los activos una vez que sean recuperados.
«Estamos estableciendo el 14 de mayo como la fecha límite para retirar cualquier fondo restante de Boost, Turbo y CRT antes de que comencemos a desapalancar el sistema. Sus fondos depositados siguen siendo suyos, pero todo el apalancamiento se reducirá a cero, liberando toda la liquidez para el canje de CRT»
, afirmó el equipo.
Impacto de la Explotación
Integrado con la infraestructura de Drift, Carrot dependía de sus pools de liquidez para generar rendimiento, lo que lo dejó expuesto cuando la explotación drenó una gran parte del valor total bloqueado de Drift. Los datos de DefiLlama muestran que el TVL de Carrot cayó de aproximadamente $28 millones antes del incidente a $1.99 millones, lo que representa una caída de aproximadamente el 93%.
Detalles del Ataque a Drift
El Protocolo Drift informó el 5 de abril que la explotación fue el resultado de meses de preparación, durante los cuales los atacantes construyeron confianza con los contribuyentes a través de reuniones en persona y contacto en línea antes de ejecutar herramientas maliciosas. Las estimaciones externas colocaron las pérdidas del ataque en aproximadamente $280 millones, mientras que Drift describió la campaña como organizada y respaldada por recursos significativos.
Según la revisión de Drift, el contacto con los atacantes comenzó alrededor de octubre de 2025, cuando individuos que se hacían pasar por miembros de una firma de trading cuantitativo se acercaron a los contribuyentes en una conferencia de criptomonedas y luego mantuvieron relaciones en múltiples eventos de la industria. El intercambio indicó que esas interacciones permitieron al grupo ganar confianza antes de comprometer dispositivos y ejecutar la explotación.
Drift agregó que tiene «confianza media-alta» en que los mismos actores estuvieron involucrados en la brecha de Radiant Capital de octubre de 2024, que resultó en pérdidas de aproximadamente $58 millones e involucró malware distribuido a través de Telegram.
Consecuencias Más Amplias
El impacto de la explotación se ha extendido más allá de Carrot. Proyectos conectados a Drift, incluidos Gauntlet, PrimeFi y Elemental DeFi, también han informado interrupciones tras la explotación. Los datos de DefiLlama muestran que abril registró casi $630 millones en pérdidas de criptomonedas en 25 incidentes, convirtiéndose en el mes más grande para explotaciones desde febrero de 2025, cuando las pérdidas alcanzaron $1.47 mil millones. El ataque de $293 millones a Kelp sigue siendo la mayor explotación de 2026 hasta ahora, seguido por la brecha de Drift con aproximadamente $285 millones, siendo ambos incidentes responsables de más del 90% de las pérdidas totales de abril.
