Das Solana-Yield-Protokoll „Carrot“ stellt den Betrieb ein, nachdem durch eine Sicherheitslücke in Drift TVL in Höhe von 8 Millionen Dollar abgezogen wurden

• Carrot (DeFi Carrot) stellte am 30. April 2026 den Betrieb ein und nannte den 285-Millionen-Dollar-Exploit beim Drift Protocol als Grund.
• Nutzer haben bis zum 14. Mai 2026 Zeit, ihre Gelder aus Boost, Turbo und CRT abzuheben, bevor der erzwungene Schuldenabbau beginnt.
• Die Auszahlungen im Rahmen der Drift-Sanierung erfolgen anteilig über IOU-Token, basierend auf einem CRT-Snapshot vom 1. April 2026.

Carrot gibt Nutzern bis zum 14. Mai Zeit, Gelder abzuheben

Der Drift-Hack, mittlerweile der größte DeFi-Exploit des Jahres 2026 und der zweitgrößte in der Geschichte von Solana, ereignete sich am 1. April gegen 20:00 Uhr UTC. Angreifer, bei denen der Verdacht auf Verbindungen zu staatlich geförderten Gruppen aus Nordkorea besteht, nutzten einen neuartigen, dauerhaften Nonce-Exploit, um die Verwaltungskontrollen von Drift zu kompromittieren. Über 50 % des gesamten gesperrten Wertes (TVL) von Drift wurden abgezogen, was eine sofortige Aussetzung von Ein- und Auszahlungen auf der gesamten Plattform zur Folge hatte.

Carrot war durch in Drift integrierte Tresore und Liquiditätspositionen erheblich betroffen. Kurz nach dem Exploit setzte das Team die Minting- und Rückkauf-Funktionen aus, während es den Schaden bewertete. Schätzungen zufolge waren etwa 50 % des TVL von Carrot gefährdet, wobei einige Analysen Verluste von über 8 Millionen US-Dollar angaben. Der CRT-Nettovermögenswert des Protokolls wurde in den Updates Mitte April auf etwa 57,52 bis 57,58 US-Dollar pro Token angepasst, was sowohl realisierte als auch nicht realisierte Auswirkungen widerspiegelt.

Bis Ende April war Carrots TVL stark gesunken, und der Betrieb blieb eingeschränkt. Das Team kommunizierte währenddessen Updates über X und Discord, einschließlich eines Snapshots der CRT-Bestände, der am 1. April um 20:00 Uhr UTC erstellt wurde, um die Ansprüche der Nutzer auf zukünftige Auszahlungen aus der Drift-Wiederherstellung zu sichern.

Am 30. April veröffentlichte @Deficarrot einen abschließenden X-Thread, in dem die Entscheidung bestätigt wurde. „Carrot wird geschlossen“, lautete der erste Beitrag. „Das ist sicherlich nicht das Ergebnis, das wir uns gewünscht haben, aber die Situation mit dem Drift-Exploit hat sich als katastrophal für unseren weiteren Betrieb erwiesen.“

Nutzer haben bis zum 14. Mai 2026 Zeit, freiwillig Gelder aus den drei Kernprodukten von Carrot – Boost, Turbo und CRT – abzuheben. Nach Ablauf dieser Frist wird das Team damit beginnen, alle Positionen auf null Hebel zu reduzieren, wodurch effektiv alles auf das 1-fache gesenkt und Liquidität für CRT-Rücknahmen freigesetzt wird.

Das Boost-Produkt von Carrot ermöglichte es Nutzern, verzinsliche Vermögenswerte wie JLP, FLP oder ONyc als Sicherheit einzuzahlen und einen Hebelgrad zu wählen, wobei das Protokoll das Looping und die Kreditaufnahme automatisierte, um die Renditen zu steigern. Turbo bot ein verwaltetes, gehebelte Token-Engagement in Vermögenswerten wie SOL, BTC und GOLD, wobei der dynamische Hebel automatisch aufrechterhalten wurde. CRT fungierte als verzinslicher Stablecoin und akzeptierte Einzahlungen in USDC, USDT oder PYUSD ohne Sperrfristen und ohne Verwaltungsgebühren.

Das Team bestätigte, dass die eingezahlten Gelder während des gesamten Abwicklungsprozesses Eigentum der Nutzer bleiben. Jegliche Rückzahlungen von Drift, die voraussichtlich in Form eines IOU-Tokens zu einem noch nicht bekannt gegebenen Zeitpunkt erfolgen werden, werden proportional auf Basis des CRT-Snapshots vom 1. April verteilt. Ansprüche bleiben auch nach dem Einlösen der CRT-Token durch die Nutzer bestehen.

Nutzer, die bis zum 14. Mai nicht handeln, werden erleben, dass ihre verbleibenden Boost- und Turbo-Positionen zwangsweise auf 1x deleveraged werden. Das Team erklärte, dass der Nettowert von diesem Prozess nicht betroffen ist. Der Drift-Exploit breitete sich über 15 bis 20 miteinander verbundene Solana-Protokolle aus, die sich in Bezug auf Liquidität, Tresore oder Renditestrategien auf Drift stützten. Carrot gehörte aufgrund der Tiefe seiner Integration zu den am stärksten betroffenen.

Das Carrot-Protokoll war mehr als zwei Jahre lang in Betrieb und entwickelte automatisierte Rendite-Tools, die es als „Rendite-Betriebssystem“ für Solana bezeichnete. Sein letzter X-Beitrag spiegelte diese Geschichte direkt wider. Während der Abwicklungsphase fallen keine Verwaltungsgebühren an. Benutzern wird empfohlen, ihre Wallet-Guthaben und Transaktionshistorien direkt in den Solana-Block-Explorern zu überprüfen und die Kommunikationskanäle von Carrot auf letzte Updates oder Ankündigungen zum Zeitplan für die Wiederherstellung zu überwachen.