Pengumuman Penutupan Protokol DeFi Carrot
Protokol DeFi berbasis Solana, Carrot, telah mengumumkan penutupan permanen setelah mengalami kerugian akibat eksploitasi Protokol Drift yang membuatnya tidak dapat melanjutkan operasional. Dalam pernyataan yang diposting oleh Carrot di platform X pada hari Kamis, serangan yang terjadi pada 1 April terhadap Drift terbukti “katastropik” bagi protokol tersebut, memaksa tim untuk menghentikan layanan dan menetapkan 14 Mei sebagai batas waktu bagi pengguna untuk menarik dana yang tersisa.
Rincian Penarikan Dana
Tim Carrot menyatakan bahwa mereka akan terus mendukung upaya pemulihan yang terkait dengan Drift dan mendistribusikan aset setelah berhasil dipulihkan. “Kami menetapkan 14 Mei sebagai batas waktu untuk menarik dana yang tersisa dari Boost, Turbo, dan CRT sebelum kami mulai mengurangi leverage sistem. Dana yang Anda setorkan tetap milik Anda, tetapi semua leverage akan dikurangi menjadi nol, sehingga membebaskan semua likuiditas untuk penebusan CRT,” ungkap tim tersebut.
Dampak Eksploitasi terhadap TVL Carrot
Carrot, yang terintegrasi dengan infrastruktur Drift, mengandalkan kolam likuiditasnya untuk menghasilkan imbal hasil, sehingga menjadi rentan ketika eksploitasi menguras sebagian besar total nilai terkunci (TVL) Drift. Data dari DefiLlama menunjukkan bahwa TVL Carrot jatuh dari sekitar $28 juta sebelum insiden menjadi $1,99 juta, mencatat penurunan sekitar 93%.
Detail Eksploitasi Protokol Drift
Protokol Drift mengungkapkan pada 5 April bahwa eksploitasi tersebut mengikuti bulan-bulan persiapan, di mana para penyerang membangun kepercayaan dengan kontributor melalui pertemuan tatap muka dan kontak online sebelum melancarkan serangan. Perkiraan eksternal menyebutkan kerugian akibat serangan tersebut mencapai sekitar $280 juta, sementara Drift menggambarkan kampanye ini sebagai terorganisir dan didukung oleh sumber daya yang signifikan.
Interaksi dengan Penyerang
Menurut tinjauan Drift, kontak dengan para penyerang dimulai sekitar Oktober 2025, ketika individu yang berpura-pura sebagai anggota perusahaan perdagangan kuantitatif mendekati kontributor di sebuah konferensi kripto dan kemudian mempertahankan hubungan di berbagai acara industri. Interaksi tersebut memungkinkan kelompok itu untuk mendapatkan kepercayaan sebelum mengkompromikan perangkat dan mengeksekusi eksploitasi.
Keterkaitan dengan Insiden Lain
Drift juga menambahkan bahwa mereka memiliki “kepercayaan menengah-tinggi” bahwa aktor yang sama terlibat dalam pelanggaran Radiant Capital pada Oktober 2024, yang mengakibatkan kerugian sekitar $58 juta dan melibatkan malware yang didistribusikan melalui Telegram.
Dampak Luas dari Eksploitasi
Dampak dari eksploitasi ini meluas di luar Carrot. Proyek-proyek yang terhubung dengan Drift, termasuk Gauntlet, PrimeFi, dan Elemental DeFi, juga melaporkan gangguan setelah insiden tersebut. Data DefiLlama menunjukkan bahwa bulan April mencatat hampir $630 juta dalam kerugian kripto akibat 25 insiden, menjadikannya bulan dengan jumlah eksploitasi terbesar sejak Februari 2025, ketika kerugian mencapai $1,47 miliar.
Kesimpulan
Serangan sebesar $293 juta terhadap Kelp tetap menjadi eksploitasi terbesar di tahun 2026 sejauh ini, diikuti oleh pelanggaran Drift yang diperkirakan mencapai sekitar $285 juta, dengan kedua insiden tersebut menyumbang lebih dari 90% dari total kerugian bulan April.
