솔라나 기반의 탈중앙화 금융(DeFi) 수익 프로토콜인 캐럿(Carrot)은 지난 4월 1일 드리프트 프로토콜(Drift Protocol)에서 발생한 해킹 사고로 인한 직접적인 손실을 이유로 목요일 서비스 중단을 발표했다. 이 해킹 사고로 드리프트 플랫폼에서 단 몇 분 만에 약 2억 8,500만 달러가 유출되었다. 주요 내용:
솔라나(Solana)의 수익 프로토콜 ‘캐럿(Carrot)’이 드리프트(Drift)의 취약점을 악용한 공격으로 TVL 800만 달러가 유출된 후 서비스를 중단했다
작성자
공유
- Carrot(DeFi Carrot)은 2억 8,500만 달러 규모의 Drift Protocol 해킹 사건을 원인으로 꼽으며 2026년 4월 30일 서비스를 종료했습니다.
- 사용자들은 강제 레버리지 해제가 시작되기 전인 2026년 5월 14일까지 부스트(Boost), 터보(Turbo), CRT에서 자금을 인출해야 합니다.
- Drift 복구 배분은 2026년 4월 1일 기준 CRT 스냅샷을 바탕으로 IOU 토큰을 통해 비례 배분될 예정이다.
Carrot, 사용자에게 5월 14일까지 자금 인출 기간 부여
2026년 최대 규모의 디파이(DeFi) 해킹이자 솔라나 역사상 두 번째로 큰 해킹 사건인 드리프트 해킹은 4월 1일 UTC 기준 오후 8시경 발생했습니다. 북한 정부 후원 그룹과 연루된 것으로 의심되는 공격자들은 독창적이고 지속적인 논스(nonce) 취약점을 악용해 드리프트의 관리 통제 시스템을 무력화했습니다. 드립의 총 예치 가치(TVL) 50% 이상이 유출되면서 플랫폼 전반에 걸쳐 입출금이 즉시 중단되었습니다.
캐럿(Carrot)은 드리프트와 연동된 볼트 및 유동성 포지션을 통해 상당한 노출을 안고 있었습니다. 해킹 발생 직후, 팀은 피해 규모를 파악하는 동안 발행 및 상환 기능을 일시 중단했습니다. 추정 결과 Carrot TVL의 약 50%가 위험에 처한 것으로 나타났으며, 일부 분석에서는 800만 달러 이상의 손실이 발생했다고 보고했습니다. 프로토콜의 CRT 순자산가치는 실현 및 미실현 손실을 모두 반영하여 4월 중순 업데이트에서 토큰당 약 57.52달러에서 57.58달러로 조정되었습니다.
4월 말까지 Carrot의 TVL은 급격히 감소했으며, 운영은 여전히 제한적인 상태였습니다. 팀은 향후 Drift 복구 배분 시 사용자의 청구권을 보장하기 위해 4월 1일 20:00(UTC)에 촬영한 CRT 보유 현황 스냅샷을 포함해, X와 Discord를 통해 지속적으로 업데이트를 전달했습니다.
4월 30일, @Deficarrot는 이 결정을 확인하는 마지막 X 스레드를 게시했습니다. 첫 게시물에는 "Carrot이 서비스를 종료합니다"라고 적혀 있었습니다. "이것은 분명 우리가 원했던 결과는 아니지만, Drift 해킹 사태는 우리 운영의 지속에 치명적인 타격을 입혔음이 입증되었습니다."
사용자들은 2026년 5월 14일까지 Carrot의 세 가지 핵심 상품인 Boost, Turbo, CRT에서 자발적으로 자금을 인출할 수 있습니다. 해당 기한이 지나면 팀은 모든 포지션을 레버리지 0으로 조정하기 시작할 예정이며, 이는 실질적으로 모든 포지션을 1배로 낮추고 CRT 상환을 위한 유동성을 확보하는 효과를 가져옵니다.
캐럿의 부스트(Boost) 상품은 사용자가 JLP, FLP, ONyc와 같은 수익 창출 자산을 담보로 예치하고 레버리지 수준을 선택하면, 프로토콜이 자동으로 루핑과 차입을 수행하여 수익을 증폭시키는 방식이었습니다. 터보(Turbo)는 SOL, BTC, GOLD 등 자산에 대한 관리형 레버리지 토큰 노출을 제공하며, 동적 레버리지를 자동으로 유지했습니다. CRT는 수익형 스테이블코인 역할을 수행하며, USDC, USDT 또는 PYUSD 예치를 잠금 조건이나 관리 수수료 없이 허용했습니다.
팀은 청산 절차 전반에 걸쳐 예치된 자금은 사용자의 소유로 남는다고 확인했습니다. 향후 공개되지 않은 시점에 IOU 토큰 형태로 지급될 것으로 예상되는 Drift로부터의 회수금은 4월 1일 CRT 스냅샷을 기준으로 비례 배분될 예정입니다. 사용자가 CRT 토큰을 상환한 후에도 청구권은 유지됩니다.
5월 14일까지 조치를 취하지 않는 사용자의 경우, 잔여 Boost 및 Turbo 포지션이 강제적으로 1배 레버리지로 조정됩니다. 팀은 이 과정이 순자산 가치에는 영향을 미치지 않는다고 밝혔습니다. Drift 해킹 사고는 유동성, 볼트, 또는 수익 전략에 Drift에 의존하던 15~20개의 상호 연결된 솔라나 프로토콜로 연쇄적으로 확산되었습니다. Carrot은 Drift와의 통합 수준이 깊었기 때문에 가장 큰 타격을 입은 프로토콜 중 하나였습니다.
2026년 드리프트 프로토콜 해킹 사건: 사건 개요, 피해자, 그리고 향후 전망
드라이프트 프로토콜(Drift Protocol)은 2026년 4월 1일, 가짜 담보와 사회공학적 기법을 이용한 북한 관련 세력들의 소라나(Solana) 디파이(DeFi) 해킹 사건으로 12분 만에 2억 8,600만 달러의 손실을 입었다. read more.
지금 읽기
2026년 드리프트 프로토콜 해킹 사건: 사건 개요, 피해자, 그리고 향후 전망
드라이프트 프로토콜(Drift Protocol)은 2026년 4월 1일, 가짜 담보와 사회공학적 기법을 이용한 북한 관련 세력들의 소라나(Solana) 디파이(DeFi) 해킹 사건으로 12분 만에 2억 8,600만 달러의 손실을 입었다. read more.
지금 읽기2026년 드리프트 프로토콜 해킹 사건: 사건 개요, 피해자, 그리고 향후 전망
지금 읽기드라이프트 프로토콜(Drift Protocol)은 2026년 4월 1일, 가짜 담보와 사회공학적 기법을 이용한 북한 관련 세력들의 소라나(Solana) 디파이(DeFi) 해킹 사건으로 12분 만에 2억 8,600만 달러의 손실을 입었다. read more.
Carrot 프로토콜은 2년 이상 운영되며 솔라나를 위한 "수익 운영 체제"라고 설명한 자동화된 수익 도구를 구축해 왔습니다. 마지막 X 게시물은 이러한 역사를 직접적으로 반영했습니다. 청산 기간 동안 관리 수수료는 부과되지 않습니다. 사용자들은 솔라나 블록 탐색기에서 직접 지갑 잔액과 거래 내역을 확인하고, 최종 업데이트나 복구 일정 발표를 위해 Carrot의 커뮤니케이션 채널을 주시할 것을 권장합니다.
