Один из заметных DeFi-протоколов на Solana — Carrot — объявил о сворачивании работы. Прямая причина — последствия эксплойта Drift Protocol 1 апреля, в результате которого с платформы было выведено около $285 млн. Carrot был плотно интегрирован с Drift, и часть TVL протокола (~$8 млн) оказалась под угрозой. В команде назвали ситуацию катастрофической для продолжения работы.

Если ты держишь CRT, Boost или Turbo — у тебя есть время до 14 мая на добровольный вывод средств. После этой даты команда начнёт принудительное снижение всех позиций до zero leverage, что освободит ликвидность для редемпций CRT. Комиссии на этом этапе не взимаются. Распределение выплат по эксплойту Drift пойдёт пропорционально через IOU-токен на основе snapshot CRT от 1 апреля.

Сам взлом Drift — отдельная история, важная для каждого фармера. Атакующие не нашли баг в коде. Они использовали легитимную фичу Solana — durable nonces — чтобы получить от членов мультисига Drift предварительные подписи на транзакции, которые исполнились почти через две недели. По данным CoinDesk, всего двух транзакций, разнесённых на четыре слота, хватило, чтобы получить полный контроль над административными правами протокола. Аналитики Elliptic связывают атаку с северокорейскими группировками — это уже третий крупный DeFi-инцидент за последние месяцы, где причиной стала не уязвимость кода, а социальная инженерия.

Общие потери DeFi за апрель достигли $629,7 млн — максимум с февраля 2025 года, по данным DeFiLlama. Помимо Drift на $280 млн, в списке: KelpDAO ($293 млн), Wasabi Protocol ($5,5 млн), Sweat Economy ($3,46 млн), Aftermath Finance на Sui ($1,1 млн) и Scallop на SUI (~$140 тыс.).

Что важно для активного участника: апрельские эксплойты подсветили один и тот же паттерн — ключи, мультисиги и операционная безопасность стали слабым местом DeFi, а не сами смарт-контракты. Если у тебя есть позиции в небольших протоколах с малозаметным мультисигом — стоит как минимум проверить состав Security Council и какие тулы они используют для подписания. Drift запустил обновлённую процедуру замены членов совета 27 марта, но атакующие успели подстроиться под новую конфигурацию за три дня.

Если ты ещё не вывел средства из Carrot или сопряжённых продуктов на Solana — самое время заняться этим до 14 мая, пока действует добровольный вывод без комиссии.