Fermeture de Carrot suite à l’exploit du Drift Protocol
Le protocole DeFi basé sur Solana, Carrot, a annoncé sa fermeture permanente suite aux pertes engendrées par l’exploit du Drift Protocol, qui l’ont rendu incapable de poursuivre ses opérations. Dans une déclaration publiée sur X jeudi, l’équipe de Carrot a qualifié l’attaque du 1er avril sur Drift de « catastrophique », les contraignant à cesser leurs services et à fixer le 14 mai comme date limite pour que les utilisateurs retirent leurs fonds restants.
Mesures de récupération et soutien
L’équipe a précisé qu’elle continuerait à soutenir les efforts de récupération liés à Drift et à distribuer les actifs une fois ceux-ci récupérés.
« Nous fixons le 14 mai comme date limite pour retirer tous les fonds restants de Boost, Turbo et CRT avant de commencer à désendetter le système. Vos fonds déposés vous appartiennent toujours, mais tout effet de levier sera réduit à zéro, libérant ainsi toute la liquidité pour le rachat de CRT, »
a déclaré l’équipe.
Impact de l’exploit sur Carrot
Intégré à l’infrastructure de Drift, Carrot s’appuyait sur ses pools de liquidité pour générer des rendements, ce qui l’a rendu vulnérable lorsque l’exploit a drainé une grande partie de la valeur totale verrouillée de Drift. Selon les données de DefiLlama, la TVL de Carrot est tombée d’environ 28 millions de dollars avant l’incident à 1,99 million de dollars, soit une baisse d’environ 93 %.
Préparation et exécution de l’attaque
Le Drift Protocol a déclaré le 5 avril que l’exploit avait été précédé de mois de préparation, durant lesquels les attaquants avaient établi une confiance avec les contributeurs par le biais de réunions en personne et de contacts en ligne avant de déployer des outils malveillants. Des estimations externes évaluent les pertes de l’attaque à environ 280 millions de dollars, tandis que Drift a décrit la campagne comme organisée et soutenue par des ressources significatives.
Selon l’examen de Drift, le contact avec les attaquants a débuté vers octobre 2025, lorsque des individus se faisant passer pour des membres d’une société de trading quantitatif ont approché des contributeurs lors d’une conférence crypto, maintenant ensuite des relations lors de plusieurs événements de l’industrie. L’échange a indiqué que ces interactions avaient permis au groupe de gagner la confiance avant de compromettre des appareils et d’exécuter l’exploit.
Conséquences pour l’écosystème DeFi
L’impact de l’exploit s’est étendu au-delà de Carrot. Des projets liés à Drift, tels que Gauntlet, PrimeFi et Elemental DeFi, ont également signalé des perturbations suite à l’incident. Les données de DefiLlama montrent qu’avril a enregistré près de 630 millions de dollars de pertes en crypto à travers 25 incidents, faisant de ce mois le plus important pour les exploits depuis février 2025, lorsque les pertes avaient atteint 1,47 milliard de dollars.
L’attaque de 293 millions de dollars sur Kelp reste le plus grand exploit de 2026 à ce jour, suivie de l’exploit de Drift à environ 285 millions de dollars, les deux incidents représentant plus de 90 % des pertes totales d’avril.
