Chiusura del Protocollo DeFi Carrot
Il protocollo DeFi di yield basato su Solana, Carrot, ha annunciato la sua chiusura permanente dopo che le perdite legate all’exploit del Drift Protocol lo hanno reso incapace di continuare le operazioni.
Dettagli dell’Attacco
In una dichiarazione pubblicata su X giovedì, Carrot ha descritto l’attacco del 1 aprile a Drift come “catastrofico“, costringendo il team a chiudere i servizi e a fissare il 14 maggio come scadenza per gli utenti per ritirare i fondi rimanenti.
“Stiamo fissando il 14 maggio come termine per ritirare eventuali fondi rimanenti da Boost, Turbo e CRT prima di iniziare a deleverare il sistema. I vostri fondi depositati sono ancora vostri, ma tutta la leva sarà ridotta a zero, liberando così tutta la liquidità per il riscatto di CRT,” ha affermato il team.
Impatto sull’Ecosistema
Integrato con l’infrastruttura di Drift, Carrot si affidava alle sue pool di liquidità per generare yield, il che lo ha reso vulnerabile quando l’exploit ha prosciugato una grande parte del valore totale bloccato di Drift. I dati di DefiLlama mostrano che il TVL di Carrot è sceso da circa 28 milioni di dollari prima dell’incidente a 1,99 milioni di dollari, una diminuzione di circa il 93%.
Il Drift Protocol ha dichiarato il 5 aprile che l’exploit è stato preceduto da mesi di preparazione, durante i quali gli attaccanti hanno costruito fiducia con i contributori attraverso incontri di persona e contatti online prima di consegnare strumenti malevoli. Stime esterne hanno collocato le perdite derivanti dall’attacco a circa 280 milioni di dollari, mentre Drift ha descritto la campagna come organizzata e supportata da risorse significative.
Connessioni con Altri Incidenti
Secondo la revisione di Drift, il contatto con gli attaccanti è iniziato intorno a ottobre 2025, quando individui che si spacciavano per membri di una società di trading quantitativo si sono avvicinati ai contributori durante una conferenza crypto e successivamente hanno mantenuto relazioni in diversi eventi del settore. L’exchange ha affermato che quelle interazioni hanno permesso al gruppo di guadagnare fiducia prima di compromettere i dispositivi ed eseguire l’exploit.
Drift ha aggiunto di avere “una fiducia medio-alta” che gli stessi attori siano stati coinvolti nella violazione di Radiant Capital di ottobre 2024, che ha comportato perdite di circa 58 milioni di dollari e ha coinvolto malware distribuito tramite Telegram.
Statistiche sugli Exploit
L’impatto si è esteso oltre Carrot. Progetti collegati a Drift, tra cui Gauntlet, PrimeFi ed Elemental DeFi, hanno anche segnalato interruzioni a seguito dell’exploit. I dati di DefiLlama mostrano che aprile ha registrato quasi 630 milioni di dollari di perdite in criptovalute in 25 incidenti, rendendolo il mese con il maggior numero di exploit dal febbraio 2025, quando le perdite hanno raggiunto 1,47 miliardi di dollari.
L’attacco di 293 milioni di dollari a Kelp rimane il più grande exploit del 2026 fino ad ora, seguito dalla violazione di Drift a circa 285 milioni di dollari, con entrambi gli incidenti che rappresentano oltre il 90% delle perdite totali di aprile.
