Solanový DeFi protokol Carrot oznámil definitivní ukončení provozu poté, co jej zasáhly následky dubnového útoku na Drift Protocol. Projekt podle vlastního vyjádření už není po finanční stránce schopný pokračovat a uživatelům stanovil termín pro výběr zbývajících prostředků. Případ znovu ukazuje, jak rychle se může bezpečnostní incident v jednom ekosystému přelít do dalších navázaných služeb.
Carrot se po útoku na Drift stahuje z trhu
Výnosový decentralizovaný protokol Carrot, postavený na síti Solana, uvedl, že svou činnost ukončí natrvalo. Podle týmu projektu byl exploit zaměřený na Drift Protocol pro Carrot katastrofální a způsobil stav, kdy platforma už nedokáže dále fungovat. Uživatelé dostali čas do 14. května, aby vybrali zbylé prostředky z produktů Boost, Turbo a CRT. Následně má dojít k oddlužení systému a k vynulování pákových pozic, aby se uvolnila likvidita pro odkupy tokenu CRT.
Tým současně uvedl, že uložené prostředky uživatelů nadále zůstávají jejich majetkem, avšak celý mechanismus pákového efektu bude postupně stažen na nulu. Carrot zároveň slíbil, že se bude dál podílet na snahách o obnovu hodnoty související s incidentem na Driftu a že bude distribuovat aktiva, jakmile budou k dispozici. Prakticky to ale znamená konec samotného protokolu jako fungující služby. Carrot se tak zařadil mezi první známé DeFi projekty, které padly v důsledku nákazy po velkém externím hacku.
Jak souvisel Carrot s infrastrukturou Drift
Klíčem k pádu Carrotu bylo jeho technické a ekonomické napojení na infrastrukturu Drift Protocolu. Carrot využíval pooly Driftu ke generování výnosů pro své uživatele, takže narušení základní vrstvy se okamžitě propsalo i do jeho fungování. Jakmile byl Drift napaden a přišel o významnou část uzamčené hodnoty, dopad se přelil i do služeb, které na něm stavěly své strategie. Právě tento efekt se v DeFi často označuje jako kontagion, tedy nákaza v rámci propojeného ekosystému.
V praxi to znamená, že ani projekt, který sám nebyl přímo cílem útoku, nemusí přežít následky selhání svého partnera nebo infrastrukturní vrstvy. To je v decentralizovaných financích obzvlášť citlivé, protože mnoho protokolů kombinuje likviditu, výnosové strategie, půjčky a zajištění napříč více aplikacemi. Pokud se naruší jeden z těchto článků, důvěra uživatelů i kapitál se mohou vytratit během velmi krátké doby. Přesně to se podle dostupných dat stalo i v případě Carrotu.
TVL Carrotu se propadl o 93 procent
Data platformy DefiLlama ukazují, že ještě před hackem Drift Protocolu měl Carrot celkovou uzamčenou hodnotu, tedy TVL, kolem 28 milionů dolarů. V současnosti se tato hodnota pohybuje přibližně na úrovni 1,99 milionu dolarů. To představuje pokles zhruba o 93 procent během jediného měsíce, což je pro podobný protokol v podstatě likvidační scénář. Tak hluboký odliv kapitálu obvykle znamená nejen ztrátu výnosového modelu, ale i zásadní oslabení důvěry komunity.
TVL sice není jediným ukazatelem zdraví projektu, u DeFi protokolů ale hraje zásadní roli, protože přímo ovlivňuje likviditu, schopnost plnit závazky a atraktivitu pro nové i stávající uživatele. Pokud objem prostředků klesne na zlomek původního stavu, bývá velmi obtížné obnovit provoz bez externí pomoci nebo zásadní restrukturalizace. V případě Carrotu se tým zjevně rozhodl, že takový návrat už není realistický. Kolaps TVL tak nebyl jen statistickým výkyvem, ale signálem faktického konce projektu.
Dubnový útok na Drift patřil k největším letošním incidentům
Samotný exploit Drift Protocolu se odehrál 1. dubna a podle zveřejněných informací šlo o vysoce koordinovaný útok. Útočníci měli měsíce připravovat operaci založenou mimo jiné na sociálním inženýrství, díky němuž získali administrátorskou kontrolu. Následně odčerpali více než polovinu tehdejší celkové uzamčené hodnoty protokolu. Rozsah incidentu z něj udělal druhý největší hack roku 2026.
Ztráta u Driftu dosáhla zhruba 285 milionů dolarů. V letošním žebříčku jej těsně překonal pouze útok na protokol Kelp z oblasti liquid stakingu, kde škoda činila 293 milionů dolarů. Tyto dva incidenty dohromady podle dostupných údajů představovaly více než 90 procent všech kryptoměn odcizených v dubnu. To dobře ilustruje, jak silně mohou jednotlivé megahacky deformovat celkové statistiky trhu i náladu investorů.
Nákaza zasáhla i další projekty
Carrot nebyl jediným projektem, který měl po útoku na Drift problémy. Dopady se rozšířily také na další spřízněné nebo integrované služby, mezi nimi například výnosový protokol Gauntlet, úvěrovou platformu PrimeFi a krypto fond Elemental DeFi. Přestože rozsah škod u jednotlivých projektů nebyl v dodaných datech detailně rozveden, samotná zmínka potvrzuje, že nešlo o izolovaný problém jedné aplikace. Ekosystémová provázanost se znovu ukázala jako významný zdroj systémového rizika.
Pro uživatele decentralizovaných financí je to důležitá připomínka, že hodnocení rizika by nemělo končit u auditů nebo reputace jednoho protokolu. Stejně důležité je sledovat i to, na jakých partnerech, poolech, mostech nebo oracle řešeních daná služba stojí. Slabina v jednom článku řetězce může vyvolat dominový efekt napříč celým segmentem. V období zvýšené volatility nebo bezpečnostních incidentů se tak z propojenosti, která jinak zvyšuje efektivitu kapitálu, stává zdroj zranitelnosti.
Apríl přinesl nejvyšší ztráty od února 2025
Statistiky DefiLlama ukazují, že jen v dubnu bylo při 25 různých incidentech odcizeno téměř 630 milionů dolarů v digitálních aktivech. Šlo tak o měsíc s nejvyššími ztrátami od února 2025, kdy škody dosáhly 1,47 miliardy dolarů. Už samotné toto srovnání naznačuje, že bezpečnostní situace v kryptosektoru zůstává i přes technologický pokrok velmi napjatá. Významnou část dubnových škod přitom tvořilo jen několik málo mimořádně velkých útoků.
Pro celý DeFi sektor je to nepříjemná zpráva hned z několika důvodů. Vedle přímých finančních ztrát totiž podobné incidenty poškozují reputaci trhu, snižují ochotu investorů alokovat kapitál do rizikovějších protokolů a zvyšují tlak na bezpečnostní standardy. Menší projekty, které jsou závislé na důvěře komunity a na stabilní likviditě, mohou být následně zasaženy i bez vlastního pochybení. Příběh Carrotu je proto spíše symptomem širšího problému než ojedinělou událostí.
Co znamená konec Carrotu pro uživatele a trh
Pro stávající uživatele je nyní nejdůležitější dodržet termín stanovený týmem a včas stáhnout zbývající prostředky. Po 14. květnu má začít proces oddlužení systému a redukce veškeré páky, což změní způsob, jakým bude protokol nakládat s likviditou. Uživatelé by proto neměli spoléhat na to, že podmínky zůstanou stejné jako v době před oznámením ukončení provozu. V podobných situacích bývá rychlá reakce klíčová.
Z pohledu trhu je konec Carrotu dalším argumentem pro důslednější řízení protistranového rizika v DeFi. Nestačí řešit jen ochranu vlastního smart kontraktu, pokud je obchodní model postaven na cizí infrastruktuře nebo výnosových tocích z externích protokolů. Projekty budou muset pravděpodobně více investovat do segmentace rizik, krizových plánů a transparentní komunikace o závislostech. Bezpečnost v DeFi už není jen otázkou kódu, ale i otázkou architektury celého ekosystému.
