- Carrot fecha após perder US$ 8 milhões no hack do Drift Protocol
- Usuários têm até 14 de maio para sacar fundos antes da liquidação forçada
- Ataque de US$ 285 mi é o maior em DeFi este ano e afeta 20 protocolos
O protocolo de rendimento automatizado Carrot anunciou seu encerramento definitivo nesta terça-feira (30), após perder aproximadamente US$ 8 milhões em decorrência do hack sofrido pelo Drift Protocol. A plataforma, que operava há mais de dois anos na rede Solana, deu aos usuários até 14 de maio de 2026 para retirar fundos antes do início da liquidação forçada de posições.
O ataque ao Drift, ocorrido em 1º de abril às 20h UTC, drenou US$ 285 milhões em apenas 12 minutos. Hackers com suspeitas ligações a grupos patrocinados pela Coreia do Norte exploraram uma vulnerabilidade de nonce durável para comprometer os controles administrativos da plataforma. Mais de 50% do valor total travado (TVL) no Drift foi roubado, forçando a suspensão imediata de depósitos e saques.
Impacto devastador no ecossistema Solana
O Carrot mantinha exposição significativa através de cofres e posições de liquidez integradas ao Drift. Logo após o exploit, a equipe pausou funções de emissão e resgate enquanto avaliava os danos. Análises iniciais apontaram que cerca de 50% do TVL do Carrot estava em risco, com perdas estimadas acima de US$ 8 milhões.
O valor líquido do token CRT foi ajustado para aproximadamente US$ 57,52 a US$ 57,58 por unidade em meados de abril, refletindo impactos realizados e não realizados. O TVL do protocolo despencou ao longo do mês, com operações permanecendo severamente limitadas.
Entre 15 e 20 protocolos interconectados na Solana que dependiam do Drift para liquidez, cofres ou estratégias de rendimento foram afetados. O Carrot estava entre os mais prejudicados devido à profundidade de sua integração com a plataforma hackeada. O mercado já considera o incidente o maior ataque DeFi de 2026 e o segundo maior na história da Solana
Prazo final para retiradas e distribuição de recuperação
A equipe do Carrot confirmou através do X (antigo Twitter) que usuários têm até 14 de maio de 2026 para retirar voluntariamente fundos dos três produtos principais, Boost, Turbo e CRT. Após essa data, o protocolo iniciará a redução forçada de todas as posições para alavancagem zero (1x), liberando liquidez para resgates de CRT.
O produto Boost permitia depósitos de ativos geradores de rendimento como JLP, FLP ou ONyc como garantia, com níveis de alavancagem escolhidos pelo usuário. O Turbo oferecia exposição alavancada gerenciada a ativos incluindo SOL, BTC e GOLD. Já o CRT funcionava como uma stablecoin geradora de rendimento, aceitando depósitos em USDC, USDT ou PYUSD sem período de bloqueio.
Para preservar direitos de usuários em eventual recuperação futura, a equipe realizou um snapshot dos holdings de CRT em 1º de abril às 20h UTC, exato momento do ataque. Qualquer distribuição de recuperação do Drift, esperada na forma de um token IOU em data não divulgada, será proporcional com base nesse registro. Os direitos permanecem válidos mesmo após o resgate dos tokens CRT.
Contexto brasileiro e lições do mercado DeFi
O colapso do Carrot serve como alerta para investidores brasileiros expostos a protocolos DeFi, especialmente aqueles com integrações complexas entre plataformas. Enquanto o Banco Central discute regulação de stablecoins no país, eventos como este demonstram os riscos inerentes ao setor descentralizado.
A concentração de US$ 630 milhões em perdas DeFi apenas em abril, conforme reportado anteriormente, revela vulnerabilidades sistêmicas que podem se propagar rapidamente entre protocolos interconectados. Para o investidor brasileiro, fica evidente a importância de diversificação e compreensão dos riscos de composabilidade quando um protocolo depende de outro para funcionar.
O Drift Protocol operava como uma exchange de futuros perpétuos na Solana, processando bilhões em volume antes do ataque. A sofisticação do exploit, com preparação de três semanas pelos atacantes, demonstra o nível crescente de ameaças no espaço DeFi. Protocolos que se apresentam como “sistemas operacionais de rendimento” podem carregar riscos multiplicados quando suas dependências falham.
Usuários que não agirem até 14 de maio verão posições restantes em Boost e Turbo forçadamente desalavancadas. A equipe garantiu que esse processo não afeta o valor líquido e que não cobrará taxa de administração durante o período de encerramento. Os fundos depositados continuam sob propriedade dos usuários durante todo o processo.
