El protocolo Carrot, basado en Solana, ha anunciado su cierre definitivo tras sufrir pérdidas catastróficas como consecuencia indirecta del exploit que afectó a Drift Protocol el 1 de abril de 2026. Esta decisión implica el retiro total de operaciones y una fecha límite, establecida para el 14 de mayo, para que los usuarios puedan retirar fondos antes de que comience el proceso de liquidación completa de activos.
La relevancia de este caso es significativa para el ecosistema cripto y DeFi, ya que evidencia la vulnerabilidad y el efecto dominó que pueden provocar los ataques en plataformas interconectadas. Aunque Carrot no fue objetivamente hackeada, su dependencia técnica y financiera de Drift resultó en la pérdida de más del 90% de su valor total bloqueado (TVL). Esto refuerza uno de los principales riesgos latentes en las finanzas descentralizadas: la exposición indirecta a fallos o ataques externos a través de vínculos con otros protocolos.
De Drift a Carrot: una cadena de pérdidas imparable
El cierre de Carrot se remonta directamente al exploit ocurrido en Drift Protocol, plataforma también basada en Solana y utilizada por Carrot para estrategias de liquidez y generación de rendimientos. El 1 de abril, un ataque aprovechando una vulnerabilidad de nonce durable permitió a los atacantes obtener control administrativo y sustraer aproximadamente $285 millones, drenando más de la mitad del total de fondos bloqueados en Drift.
La integración de Carrot con Drift resultó ser el punto crítico. No se trató de un hackeo directo; sin embargo, la exposición operativa a los pools de Drift provocó que Carrot absorbiera de inmediato las pérdidas. Los esfuerzos por estabilizar la plataforma tras el incidente —incluyendo restricciones a los retiros, reducción de apalancamiento y consolidación de activos— no fueron suficientes para frenar el colapso de la liquidez y la confianza del mercado.
| Fecha | Evento | Impacto en TVL Carrot |
| 1 de abril 2026 | Exploit en Drift Protocol | $28 millones |
| 2 de abril 2026 | Carrot restringe retiros, reduce apalancamiento | – |
| Semanas siguientes | Fuga de capital frente a incertidumbre de recuperación | Baja a $2 millones |
| 14 de mayo 2026 | Fecha límite para retiros antes del cierre definitivo | — |
El desplome de la TVL —de $28 millones antes del exploit a apenas $2 millones semanas después— ilustra con claridad el efecto devastador de esta dependencia. Carrot declaró “catastrófica” la situación para su viabilidad operativa.
Paso a paso: ¿qué deben hacer los usuarios?
- Fecha límite para retiros: hasta el 14 de mayo de 2026, los usuarios deben retirar cualquier saldo restante de productos como Boost, Turbo y CRT.
- Reducción de apalancamiento: desde ese momento, se eliminará el apalancamiento restante (devolviendo todas las posiciones a 1x) para maximizar la liquidez disponible para redenciones.
- Recuperación futura: cualquier fondo recuperado posteriormente de Drift será distribuido proporcionalmente mediante un sistema de IOU, tomando como referencia un snapshot de balances del 1 de abril. Todavía no hay plazos para ese eventual reembolso.
- Soporte limitado: la comunicación con el equipo de Carrot se mantendrá mientras dure el proceso de cierre y liquidación, con instrucciones publicadas en la interfaz oficial y redes sociales.
En el anuncio oficial, Carrot insistió en que los fondos de los usuarios seguirán siendo propiedad de estos y que el protocolo se mantendrá activo únicamente para la gestión de los pasos finales y la asistencia en retiros. Advirtió, además, sobre el riesgo de usar servicios o herramientas no oficiales para intentar recuperar fondos, y subrayó la importancia de realizar el procedimiento de retiro personalmente y con tiempo.
Implicancias críticas para el ecosistema DeFi: el contagio como riesgo sistémico
La caída de Carrot trae a primer plano una de las mayores amenazas emergentes en DeFi: la “contaminación” o contagio entre protocolos, donde una falla en una pieza central puede afectar a múltiples proyectos conectados, aun si no han sido vulnerados directamente. En este caso, la dependencia de infraestructura y liquidez de Drift convirtió a Carrot en víctima colateral del ataque, un escenario que se veía de modo hipotético pero que ahora tiene un ejemplo concreto y multimillonario.
La situación intensifica el debate sobre la arquitectura del ecosistema DeFi. Protocolos cada vez más interdependientes multiplican los puntos de fallo posibles, dificultando no solo la auditoría y la gestión de riesgos, sino también la protección efectiva de los usuarios frente a quiebras derivadas de eventos externos.
Solana, ya tensionada por incidentes de seguridad recientes, debe afrontar interrogantes sobre la solidez de su ecosistema DeFi y la capacidad para contener ataques que escapan al control de sus protocolos individuales. Carrot es el primer protocolo de peso que se ve obligado a cesar operaciones este año como efecto secundario, pero la tendencia apunta a que otros podrían revisar con urgencia sus exposiciones y dependencias.
La trazabilidad de las pérdidas y la transparencia post-ataque —incluyendo iniciativas como la distribución de IOUs y el mantenimiento de canales de comunicación— serán determinantes para la recuperación de la confianza de usuarios e inversores. Este episodio servirá como caso de estudio para desarrolladores, explorando la necesidad de nuevas herramientas que contabilicen y mitiguen riesgos de dependencia cruzada.
Para los usuarios de Carrot y participantes del ecosistema DeFi, el incidente es una advertencia clave: la evaluación de riesgos debe incluir no solo la seguridad del protocolo utilizado, sino también la de los partners, proveedores de liquidez y cualquier otra plataforma subyacente. El cierre abrupto de Carrot, documentado en sitios especializados como AMBCrypto y CoinLaw, marca un antes y un después en el diseño y la gestión de plataformas financieras descentralizadas.
En suma, la extinción de Carrot ilustra que la robustez DeFi no depende solo del código propio, sino de todo el ecosistema. La priorización de auditorías de dependencias, la creación de planes de contingencia y la educación en la gestión integral de riesgos se perfilan como pasos imprescindibles para los protocolos que busquen sobrevivir en un entorno crecientemente interconectado y vulnerable a ataques de alta sofisticación.