Solana Tabanlı DeFi Protokolü Carrot, Drift Açığından Kaynaklanan Kayıplar Nedeniyle Kapanıyor

Solana tabanlı merkeziyetsiz finans (DeFi) getiri protokolü Carrot, Drift Protokolü'ndeki güvenlik açığından kaynaklanan kayıplar nedeniyle kalıcı olarak kapanacağını duyurdu. Protokolün, 14 Mayıs'ı kullanıcıların kalan fonlarını çekmeleri için son tarih olarak belirlediği bildirildi.

Carrot'ın, Drift'e yönelik 1 Nisan'daki saldırının ardından, operasyonlarına devam edemez hale geldiği belirtildi. DefiLlama verilerine göre, Carrot'ın toplam kilitli değeri (TVL), Drift'e yönelik saldırıdan önce yaklaşık 28 milyon dolardan, saldırı sonrası 1.99 milyon dolara geriledi. Bu, yaklaşık %93'lük bir düşüşe işaret ediyor.

Drift Protokolü ise yaptığı açıklamada, açığın aylar süren bir sosyal mühendislik sürecinin ardından gerçekleştiğini ve kayıpların yaklaşık 280 milyon dolar olarak tahmin edildiğini belirtti. Saldırının, organize bir kampanya ile bağlantılı olduğu ifade edildi.

Carrot'ın Perşembe günü X'te (Twitter) yaptığı açıklamaya göre, 1 Nisan'daki Drift saldırısı protokol için "felaket" oldu ve ekibi hizmetleri sonlandırmaya ve kullanıcıların kalan fonlarını çekmeleri için 14 Mayıs'ı son tarih olarak belirlemeye zorladı. Ekip, Drift ile ilgili kurtarma çabalarına yardımcı olmaya devam edeceğini ve kurtarıldıktan sonra varlıkları dağıtacağını belirtti. Carrot ekibi, "Boost, Turbo ve CRT'den kalan tüm fonları çekmek için 14 Mayıs'ı son tarih olarak belirliyoruz. Ardından sistemi kaldıraçsızlaştırmaya başlayacağız. Yatırılan fonlarınız hala size ait, ancak tüm kaldıraç sıfıra indirilecek ve CRT itfası için tüm likidite serbest bırakılacak," dedi.

Drift'in altyapısına entegre olan Carrot, getiri üretmek için likidite havuzlarına güveniyordu. Bu durum, açığın Drift'in toplam kilitli değerinin büyük bir bölümünü boşaltmasıyla birlikte Carrot'ı savunmasız bıraktı.

Drift Protokolü, 5 Nisan'da yaptığı açıklamada, açığın aylar süren bir hazırlık sürecini takip ettiğini belirtti. Saldırganların, kötü niyetli araçları kullanmadan önce yüz yüze görüşmeler ve çevrimiçi iletişim yoluyla katkıda bulunanlarla güven inşa ettikleri ifade edildi. Dış tahminler, saldırıdan kaynaklanan kayıpları yaklaşık 280 milyon dolar olarak gösterirken, Drift kampanyayı organize ve önemli kaynaklar tarafından desteklenmiş olarak tanımladı.

Drift'in incelemesine göre, saldırganlarla temas 2025 Ekim civarında başladı. Kendilerini nicel bir ticaret firmasının üyeleri olarak tanıtan kişiler, bir kripto konferansında katkıda bulunanlara yaklaştı ve daha sonra çeşitli sektör etkinliklerinde ilişkilerini sürdürdü. Bu etkileşimler, grubun cihazları tehlikeye atmadan ve açığı gerçekleştirmeden önce güven kazanmasını sağladı. Drift ayrıca, aynı aktörlerin, yaklaşık 58 milyon dolar zarara yol açan ve Telegram aracılığıyla dağıtılan kötü amaçlı yazılımları içeren Ekim 2024'teki Radiant Capital ihlalinde de yer aldığından "orta-yüksek güvene" sahip olduğunu ekledi.

Etki Carrot'ın ötesine uzanıyor. Gauntlet, PrimeFi ve Elemental DeFi dahil olmak üzere Drift'e bağlı projeler de açığın ardından kesintiler bildirdi.

DefiLlama verileri, Nisan ayında 25 olayda yaklaşık 630 milyon dolarlık kripto para kaybının yaşandığını gösteriyor. Bu, kayıpların 1.47 milyar dolara ulaştığı 2025 Şubat'tan bu yana yaşanan en büyük kayıplı ay oldu. Kelp'e yapılan 293 milyon dolarlık saldırı, 2026'nın şu ana kadarki en büyük açığı olmaya devam ediyor ve ardından yaklaşık 285 milyon dolarlık Drift ihlali geliyor. Her iki olay da Nisan ayındaki toplam kayıpların %90'ından fazlasını oluşturuyor.

Sonuç olarak, Drift Protokolü'ndeki güvenlik açığı, birçok DeFi projesini olumsuz etkiledi. Carrot'ın kapanması, DeFi ekosistemindeki risklerin ve güvenlik açıklarının önemini bir kez daha gözler önüne seriyor.