Поставьте обратный слеш в конце строки

$last_message = Chat::where('user_id', $user_id)
    ->where('friend_id', $friend_id')
    ->orderBy('id', 'desc')
    ->first()
    ->chat;

1. Это не просто объект. А объект класса какого вы должны найти в доке.
2. Найдя, то что возвращает get() можно с легкостью, подобной щелчку пальцев одной руки, преобразовать все массив, а второй руки - в массив с нужной структурой.

Нужны подробности того как вы авторизируете юзера через API, потому что есть подозрение что вы при это авторизации не отдаете авторизационный токен или не используете его при запросах на защищенные узлы.
И, да. CSRF не работает в API-запросах, так как для хранения проверочного токена используются сессии, которые, в свою очередь, не используются в API.