El protocolo Carrot, dedicado a productos de rendimiento en Solana, anunció el 30 de abril de 2026 el cierre definitivo de sus operaciones tras un exploit ocurrido en Drift Protocol que eliminó más del 90% de su Total Value Locked (TVL). Los usuarios de Carrot tienen plazo hasta el 14 de mayo para retirar sus fondos de los productos Boost, Turbo y CRT. Posteriormente, comenzará un proceso forzado de deleveraging, ajustando todas las posiciones a apalancamiento 1x para maximizar la liquidez y permitir los reembolsos finales.
Este cierre pone nuevamente en el centro de la discusión los riesgos de contagio y exposición cruzada en el ecosistema DeFi, especialmente entre protocolos altamente interconectados. El caso Carrot subraya cómo una vulnerabilidad o exploit en un protocolo principal puede tener consecuencias devastadoras no solo para los afectados directos, sino también para plataformas y usuarios que operan productos dependientes de esa infraestructura.
Impacto directo del exploit en Drift Protocol
La cadena de eventos se desató el 1 de abril de 2026 con un ataque sobre Drift Protocol, el principal exchange de futuros perpetuos en Solana, que resultó en el drenaje de aproximadamente $285 millones en cuestión de minutos. Según investigaciones recogidas, el exploit aprovechó una vulnerabilidad administrativa (durable nonce exploit) para comprometer los controles, arrasando más del 50% del TVL de Drift y desencadenando una suspensión inmediata de depósitos y retiros.
Carrot mantenía exposición significativa a Drift a través de bóvedas integradas y estrategias que dependían de su liquidez y rendimiento. El efecto dominó fue inmediato: se pausaron funciones de mint y redención, se restringieron retiros y se reorganizaron los activos para priorizar redenciones. Estimaciones internas sugirieron inicialmente que al menos el 50% del TVL de Carrot estaba en riesgo, cifra que tras movimientos de retiro y liquidación terminó ascendiendo a más del 90% de pérdidas, con la TVL cayendo de $28 millones a menos de $2 millones en pocas semanas.
Proceso de cierre y garantías para usuarios
Carrot anunció que sus productos principales, Boost, Turbo y CRT, estarán disponibles para retiros voluntarios hasta el 14 de mayo de 2026. Los balances y derechos de los usuarios se congelaron mediante una instantánea tomada el 1 de abril a las 20:00 UTC, lo que dará base para eventuales distribuciones proporcionales en caso de recuperar fondos tras el hackeo. Si algún activo es recuperado de Drift, será distribuido a los titulares de CRT según los saldos registrados en ese snapshot.
Pasada la fecha límite, el equipo comenzará a reducir todo el apalancamiento a 1x, liberando liquidez para facilitar la salida total de los inversores restantes. Los usuarios que no retiren voluntariamente verán sus posiciones reequilibradas, pero sin pérdida de valor adicional en ese proceso. No se cobrarán comisiones de gestión durante esta fase.
- Última fecha para retirar fondos: 14 de mayo de 2026
- Después, todas las posiciones Boost/Turbo serán forzosamente liquidadas a 1x
- Derechos a recompensas de Drift se conservan a través de IOU proporcional
- No se aplicarán nuevas comisiones de gestión hasta la distribución final
DeFi bajo presión: riesgos sistémicos y efectos de contagio
El caso Carrot refleja un patrón creciente en 2026: una ola de exploits masivos en el sector DeFi, según datos de DefiLlama y reportes de seguridad. Carrot no fue víctima directa del hackeo, pero su modelo dependía estrechamente del rendimiento y la solvencia de Drift, lo que amplificó la crisis una vez perdido ese soporte.
Esta situación recuerda recientes incidentes similares, como el hackeo a Wasabi Protocol, donde una clave administrativa comprometida permitió drenar $4,55 millones en diversas cadenas (detalle). Ambos casos muestran que los ataques no siempre necesitan dirigirse al código de contratos inteligentes; a menudo, basta con vulnerar un punto de control administrativo o aprovechar la dependencia de otros protocolos para expandir el daño.
Se estima que la brecha de Drift afectó entre 15 y 20 protocolos en Solana, todos ellos con exposición directa o indirecta a sus bóvedas o estrategias de liquidez. La rápida sucesión de incidentes eleva el debate sobre la arquitectura de seguridad, la transparencia en la gestión de riesgos interprotocolo y la vigilancia continua ante amenazas avanzadas.
Implicancias para usuarios, desarrolladores y el ecosistema de Solana
Para la comunidad de usuarios de Carrot, las instrucciones son claras: retirar tokens antes del 14 de mayo y monitorear los canales oficiales para recibir actualizaciones de cierres y posibles futuras recuperaciones, ya que cualquier reembolso derivado de Drift se procesará según saldos de CRT a la fecha del exploit. Se recomienda verificar saldos y transacciones en exploradores de Solana para evitar fraudes o comunicaciones falsas durante el proceso de wind down.
Para desarrolladores y operadores de DeFi, el episodio refuerza la necesidad de auditorías periódicas, distribución del control administrativo, y estrategias de exposición diversificadas que no dependan de un protocolo o liquidez centralizada. La debilidad demostrada ante hacks y contagio sistémico deja en evidencia que la descentralización y la transparencia siguen siendo tareas pendientes clave para afianzar la confianza y la resiliencia en el sector.
El cierre de Carrot, tras dos años operando como “sistema operativo de rendimiento” en Solana, deja una advertencia clara sobre los límites estructurales y operativos de la DeFi actual. Usuarios, inversores y equipos técnicos deben extraer lecciones directas de esta crisis para fortalecer la seguridad, ajustar los modelos de riesgo y repensar la dependencia entre plataformas interoperables.
Para un resumen completo del episodio y futuras actualizaciones sobre el proceso de cierre, puede consultarse el informe de Bitcoin.com sobre Carrot o el detalle de las fechas en la nota de BingX Flash News.