El Cierre de Carrot Protocol Acaba de Demostrar que la Composabilidad de DeFi Fue un Vector de Contagio Todo el Tiempo

Carrot Protocol nunca fue hackeado. Sus smart contracts no se vieron comprometidos, sus admin keys no fueron objeto de phishing y su equipo no realizó un rug pull. Sin embargo, el 30 de abril de 2026, el agregador de rendimientos de Solana dijo a sus usuarios que retiraran todo para el 14 de mayo porque la mitad de su TVL se había desvanecido en el exploit de otra persona.

Ese "alguien más" era Drift Protocol, la plataforma de futuros perpetuos que perdió aproximadamente $285 millones el 1 de abril debido a lo que los investigadores creen que fue un ataque de durable-nonce vinculado a Corea del Norte. Los productos Boost y Turbo de Carrot habían estado enrutando silenciosamente los depósitos de los usuarios a través de vaults integrados en Drift. Cuando Drift sangró, Carrot sangró. Unos$ 8 millones de los aproximadamente $ 16 millones en depósitos de Carrot en ese momento fueron drenados aguas abajo: el 50 % del TVL desapareció de la noche a la mañana, sin ningún error propio de Carrot.

Treinta días después, Carrot es el primer protocolo en cerrar formalmente debido a esa exposición. Casi con seguridad no será el último. Su cierre es el momento en que la industria DeFi ya no puede ignorar la pregunta que ha estado bajo la superficie desde 2020: cuando los "LEGOs de dinero" se encajan, ¿quién es el dueño del fallo cuando un bloque debajo cede?

Qué pasó realmente con Carrot

Carrot se lanzó como un "sistema operativo" de rendimiento para Solana: una interfaz de depósito única que abstraía la complejidad de enrutar capital a través de la fragmentada superficie de rendimientos de la cadena. Los usuarios depositaban stablecoins (USDC, USDT, PYUSD) y recibían CRT, un token de recibo con rendimiento. Detrás de escena, tres productos principales hacían el trabajo:

• Boost aceptaba colateral con rendimiento como JLP, FLP y ONYC, luego automatizaba el looping y el préstamo para aumentar el apalancamiento.
• Turbo ofrecía exposición gestionada con apalancamiento a SOL, BTC e incluso ORO tokenizado.
• CRT en sí funcionaba como una stablecoin con rendimiento, sin bloqueos y sin comisiones.

En su punto máximo, Carrot llegó a tener más de $32 millones en TVL. El día antes del exploit de Drift, se situaba cerca de los$ 28 millones. Para el 30 de abril, cuando el equipo publicó su aviso de cierre, DefiLlama mostraba aproximadamente $ 1,99 millones restantes, un colapso del 93 % en 30 días, incluso después de que Carrot tomara una instantánea (snapshot) de los saldos de CRT a las 20:00 UTC del 1 de abril para preservar cualquier futura reclamación de recuperación de Drift.

La historia mecánica es simple. Las estrategias de Boost y Turbo se construyeron parcialmente sobre Drift. Cuando las vaults de Drift fueron drenadas, la pérdida fluyó directamente a las posiciones de estrategia de Carrot. Los usuarios aún tenían CRT, pero los activos que respaldaban a CRT se habían evaporado parcialmente aguas arriba. Los retiros se aceleraron. Las posiciones de estrategia restantes no pudieron sostenerse a escala. El cierre fue el único movimiento honesto que quedaba.

Lo que hace que el anuncio de Carrot sea estructuralmente importante es la ausencia de un villano en el propio protocolo. No hay drama con las admin keys, no hay votos de gobernanza impugnados, no hay desarrolladores deshonestos. Carrot hizo exactamente lo que decían sus documentos que haría, y aun así falló.

El exploit de Drift, en resumen

Para entender por qué vale la pena escribir sobre Carrot más allá de ser un simple cierre, el evento de aguas arriba merece un breve resumen.

El 1 de abril de 2026, comenzando aproximadamente a las 16:05 UTC, los atacantes obtuvieron el control administrativo de Drift Protocol y drenaron aproximadamente $ 285 millones de sus vaults, eliminando más del 50 % del TVL de Drift y convirtiéndolo en el hackeo DeFi más grande de 2026 y el segundo exploit más grande en la historia de Solana, solo por detrás del incidente del puente Wormhole de 2022.

El ataque no fue un error de smart contract. Fue una operación de ingeniería social de meses que explotó la función "durable nonces" de Solana, una primitiva que permite que una transacción se firme por adelantado y se ejecute más tarde. Según los informes post-mortem de Chainalysis y TRM Labs, los atacantes pasaron semanas haciéndose pasar por una firma de trading cuantitativo para generar confianza con los contribuyentes de Drift. Entre el 23 y el 30 de marzo, utilizaron múltiples cuentas de durable nonce para engañar a los firmantes del multisig del Consejo de Seguridad de Drift para que firmaran previamente lo que parecían transacciones rutinarias pero que en realidad contenían autorizaciones ocultas para acciones administrativas críticas.

Luego desplegaron un activo falso llamado CVT, manipularon su precio de oráculo a ~$1, depositaron 500 millones de CVT y utilizaron las autorizaciones administrativas firmadas previamente para retirar$ 285 millones en USDC, SOL y ETH reales. Fuertes señales on-chain apuntan a actores asociados con la RPDC (Corea del Norte).

Dos semanas después, el 16 de abril, Tether y sus socios anunciaron un paquete de recuperación de hasta $147,5 millones, incluidos$ 127,5 millones de Tether y $ 20 millones de otros socios, estructurado como una línea de crédito vinculada a los ingresos, una subvención del ecosistema y préstamos de creadores de mercado en un pool de recuperación de usuarios dedicado. Como parte del acuerdo, Drift cambió su activo de liquidación principal de USDC a USDT. A cada usuario afectado se le está emitiendo un token de recuperación transferible que representa un derecho sobre el pool.

Tenga en cuenta un detalle que resulta ser enormemente importante para Carrot: ese respaldo de $ 147,5 millones cubre a los usuarios directos de Drift. No se extiende a los protocolos de aguas abajo cuyas estrategias casualmente estaban alojadas dentro de las vaults de Drift.

La composabilidad siempre fue dos cosas a la vez

Los especialistas en marketing de DeFi han pasado cinco años vendiendo la composabilidad como algo positivo: "LEGOs de dinero", una "API sin permisos para las finanzas", "innovación que se acumula sobre la innovación". Y es todas esas cosas. Pero la composabilidad también ha sido siempre un mecanismo de transmisión. Si el producto del Protocolo B se construye sobre la bóveda del Protocolo A, entonces el riesgo del Protocolo A no es exclusivo del Protocolo A. Pertenece por igual, y silenciosamente, a los usuarios del Protocolo B.

Carrot es la prueba más clara posible de esa tesis porque:

• Carrot no fue atacado.
• El código propio de Carrot no falló.
• La pérdida de Carrot fue heredada al 100 % de una dependencia de flujo descendente.
• El protocolo que absorbió el ataque primario recibió un respaldo al estilo TradFi. El protocolo de flujo descendente no lo recibió.

De los aproximadamente $285 millones en pérdidas directas de Drift, los primeros ~$148 millones están siendo absorbidos por el fondo de recuperación de Tether. Los ~$137 millones restantes en exposición en cascada ahora residen en algún lugar: en parte dentro de bóvedas como las de Carrot, en parte dentro de firmas de trading que utilizaban Drift como parte de su pila de estrategias, y en parte dentro de otros protocolos que aún trabajan en sus post-mortems. Los $8 millones de Carrot son la primera pieza reconocida públicamente de ese daño de segundo orden. Es poco probable que sea la última.

Este no es un problema específico de Solana. Es una propiedad universal de las DeFi composables. Ethereum vio versiones de esto durante el colapso de FTX en noviembre de 2022, cuando los protocolos y prestamistas que habían tratado a las contrapartes relacionadas con FTX como libres de riesgo descubrieron, a veces semanas después, que no lo eran. El desmantelamiento de LUNA-Anchor en mayo de 2022 siguió el mismo patrón: el rendimiento de Anchor se construyó sobre las mecánicas de Terra que todos asumieron que se mantendrían.

Ambos episodios tuvieron una cronología reconocible. Celsius detuvo los retiros el 12 de junio de 2022. Voyager se declaró en quiebra el 5 de julio. 3AC fue liquidado el 15 de junio. Genesis pausó los canjes en noviembre después de la implosión de FTX. El desfase entre la falla primaria y las fallas secundarias visibles fue generalmente de 30 a 90 días.

El exploit de Drift ocurrió el 1 de abril. Carrot anunció su cierre el 30 de abril. Estamos exactamente en la ventana donde, históricamente, la segunda ola de repercusiones se vuelve visible.

Quién está realmente expuesto

Drift era, por volumen histórico de perpetuos, una de las sedes de derivados más grandes de Solana. Las estimaciones sitúan el volumen acumulado en decenas de miles de millones de dólares. Ese tipo de centro de liquidez atrajo naturalmente a desarrolladores de estrategias. Los agregadores de rendimiento se enrutaban hacia Drift. Las capas de corretaje principal (prime-brokerage) se construyeron sobre él. Los productos de bóvedas ofrecían exposición apalancada con Drift como motor.

Project 0, por ejemplo, lanzó un prime broker de DeFi en Solana para múltiples sedes que se integraba con plataformas como Kamino, Drift y Jupiter, permitiendo a los usuarios pedir prestado y gestionar el riesgo en todo su portafolio en lugar de mantener posiciones aisladas en plataformas individuales. Ese es exactamente el tipo de diseño de margen unificado que convierte la falla de un protocolo en un evento que afecta a todo el portafolio.

El propio mercado de préstamos de Solana — de aproximadamente $5 mil millones de tamaño — está debatiendo abiertamente el riesgo de composabilidad. Jupiter Lend enfrentó una disputa pública a finales de 2025 sobre si su arquitectura de "bóveda aislada" realmente protegía a los usuarios de la rehipotecación, con Kamino bloqueando las migraciones a Jupiter Lend por lo que caracterizó como un riesgo de contaminación cruzada total a pesar del marketing de aislamiento de Jupiter. Desde entonces, Kamino se ha posicionado como la alternativa de mercado modular y aislado.

El cierre de Carrot no valida ninguno de los lados de ese argumento específico. Lo que valida es la afirmación subyacente de que el riesgo cruza los límites de los protocolos, incluso cuando los equipos creen sinceramente que su arquitectura lo aísla. Porque la exposición de Carrot a Drift no fue a través de alguna cadena de rehipotecación exótica; fue a través de un enrutamiento de estrategias ordinario, publicitado y transparente. Y aun así produjo una pérdida del 50 % del TVL que el protocolo no pudo sobrevivir.

Si usted está operando un producto de rendimiento nativo de Solana, un agregador o una capa de corretaje principal en este momento, un ejercicio sensato es publicar — en lenguaje sencillo — cada protocolo externo que tocan los fondos de sus usuarios en el transcurso de cualquier estrategia activa. Los usuarios de Carrot se habrían beneficiado de esa divulgación el 31 de marzo. El costo de producirla el 1 de mayo es enormemente mayor.

Qué significa esto para los reguladores

El cierre de Carrot es el caso de estudio regulatorio más claro posible porque elimina todas las variables de confusión. No es una historia sobre mala gestión, una estafa de salida o incluso una mala higiene operativa. Es una historia sobre un protocolo que falla debido a una dependencia que divulgó pero cuyo riesgo los usuarios no internalizaron.

Eso lo convierte en el argumento más sólido hasta ahora para la posición de que los protocolos DeFi por encima de cierto TVL o número de usuarios deberían estar obligados a divulgar su gráfico de composabilidad: qué contratos de otros protocolos invocan, con qué fracción de los fondos de los usuarios y bajo qué condiciones de estrés. Alguna versión de esto ya está implícita en la coordinación continua de la SEC y la CFTC para 2026. Las agencias firmaron un Memorando de Entendimiento en marzo de 2026 para desarrollar un "marco regulatorio adecuado" para los activos digitales, y la CFTC, bajo la presidencia de Michael Selig, ha señalado la creación de normas en torno a los proveedores de software DeFi, el trading spot apalancado y los sistemas de trading impulsados por IA.

La divulgación de la composabilidad aún no ha aparecido como una prioridad específica en esos flujos de trabajo. El cierre de Carrot es el tipo de evento que la incluye en la lista. El programa OCCIP del Tesoro — la instalación de intercambio de inteligencia sobre ciberamenazas criptográficas que entró en funcionamiento a principios de abril de 2026 — está siendo probado operativamente por este escenario exacto. ¿Puede una capa de inteligencia coordinada identificar el próximo protocolo expuesto en el flujo descendente antes de que sus usuarios se adelanten a la divulgación? Esa es la prueba que el contagio de Drift le ha entregado.

También hay una cuestión regulatoria más silenciosa oculta en el respaldo financiado por Tether. El compromiso de recuperación de $147.5 millones de Tether es grande, novedoso y estructuralmente con sabor a TradFi: un emisor privado de monedas estables suscribiendo la recuperación de un protocolo DeFi público a cuyos usuarios no sirve formalmente. Es una victoria para la credibilidad. También es un precedente. Si los respaldos al estilo Tether se convierten en una expectativa normal para las grandes fallas de DeFi, ¿quién decide qué protocolos de flujo descendente están dentro y fuera del perímetro de recuperación? Los usuarios de Carrot están actualmente fuera de él. También lo están los poseedores de instantáneas (snapshots) de CRT. Ellos esperan un pagaré (IOU) incierto.

Lo que esto significa para los constructores

Algunas conclusiones prácticas para cualquiera que esté lanzando DeFi hoy:

• Trate la composibilidad como una partida del balance, no como una característica de marketing. Cada protocolo externo que sus estrategias invocan es un préstamo no garantizado al modelo de seguridad de ese protocolo. Valórelo en consecuencia.
• Publique su gráfico de composibilidad. Una página sencilla de "¿a dónde van los fondos de los usuarios?", actualizada mensualmente, habría dado a los usuarios de Carrot la información necesaria para dimensionar su exposición. La versión que Carrot está publicando ahora, en su publicación de cierre, es la misma información — simplemente entregada después de la pérdida en lugar de antes.
• Tome snapshots antes de necesitarlos. Carrot tomó un snapshot de CRT a las 20:00 UTC del 1 de abril específicamente para que cualquier futura recuperación de Drift pudiera distribuirse proporcionalmente. Esa única pieza de higiene operativa es la diferencia entre una reclamación recuperable y una desaparecida.
• Planifique para la segunda ola. Si su protocolo utiliza Drift, Marginfi, Kamino, Jupiter o cualquier otro lugar de liquidez importante en Solana como pieza de construcción, se encuentra dentro de una ventana de 30 a 90 días en la que los patrones de contagio pasados sugieren que aparecen efectos secundarios visibles. Realice pruebas de estrés a sus estrategias para el caso en que uno de esos lugares experimente una tormenta de retiros repentina.

Hay un comportamiento de infraestructura que vale la pena señalar: desde una perspectiva de RPC, un protocolo que experimenta un desmantelamiento inducido por la composibilidad se ve idéntico a un protocolo bajo ataque. El tráfico repentino de una tormenta de retiros, el agotamiento de los oráculos, el amontonamiento de bots de MEV y las liquidaciones entre protocolos muestran la misma firma de carga de nodo, ya sea que la causa subyacente sea maliciosa o estructural. Los operadores que sirven a DeFi en Solana necesitan ser capaces de distinguir ambos en tiempo casi real, porque la primera hora de respuesta ante incidentes define los siguientes 30 días de secuelas.

La verdadera pregunta

La frase más importante en el anuncio de cierre de Carrot es la más sencilla. El equipo dijo que el protocolo ya no era viable como agregador de rendimientos tras la exposición a Drift. Traducido: el modelo de negocio de "enrutamos sus depósitos de forma inteligente a través de otros protocolos" solo funciona cuando los otros protocolos son, a su vez, robustos. En el momento en que un lugar upstream importante falla catastróficamente, la propuesta de valor del agregador se invierte — en lugar de diversificar el riesgo, lo concentra.

Ese es un problema serio para toda una capa de DeFi. Agregadores de rendimiento, prime brokers, plataformas de bóvedas, emisores de productos estructurados — cada protocolo cuyo argumento de venta es "gestionamos la complejidad por usted a través de otros protocolos" hereda esta propiedad. La era 2020-2024 asumió que los protocolos subyacentes eran lo suficientemente confiables o asegurables para hacer que esa abstracción fuera segura. El cierre de Carrot es la refutación empírica.

El próximo mes nos dirá qué tan extendido está realmente el daño de segundo orden. Si el contagio de Drift sigue sus análogos de 2022 — y no hay ninguna razón obvia por la que no lo haría — entonces el periodo del 14 de mayo al 1 de junio es la ventana en la que deberían llegar los próximos dos o tres cierres de protocolos o revelaciones de pérdidas importantes. Observe de cerca el espacio de rendimiento (yield) de DeFi en Solana. Los protocolos que publiquen sus gráficos de dependencia de forma proactiva en las próximas dos semanas son los que no tienen nada que ocultar. Aquellos que se mantienen en silencio merecen una mirada más profunda.

La composibilidad se vendió como la característica estrella de DeFi. También es el vector de contagio de DeFi. Ambas cosas siempre han sido ciertas. Carrot es el primer protocolo de 2026 lo suficientemente honesto — o con la suficiente mala suerte — para admitirlo.

---

BlockEden.xyz opera infraestructura RPC de nivel de producción en Solana, Sui, Aptos, Ethereum y más de 30 cadenas adicionales, con la observabilidad necesaria para distinguir una tormenta de retiros de un exploit activo en tiempo real. Si está construyendo infraestructura DeFi que necesite sobrevivir a ambos, explore nuestro marketplace de APIs.

Fuentes

• El protocolo de rendimiento de Solana, Carrot, cierra tras un exploit de 8 millones de dólares — 99Bitcoins
• El protocolo Carrot cerrará después de que la brecha de Drift acabe con el TVL — crypto.news
• El protocolo de rendimiento de Solana, Carrot, cierra después de que el exploit de Drift drene 8 millones de dólares en TVL — Bitcoin.com News
• Carrot se convierte en la primera víctima de DeFi del exploit de 285 millones de dólares de Drift — Crypto Times
• El TVL de Carrot colapsa un 93% en un mes tras el hackeo de Drift — IDOSLaunchPad
• Hackeo del protocolo Drift: Cómo el acceso privilegiado llevó a una pérdida de 285 millones de dólares — Chainalysis
• Hackers norcoreanos atacan el protocolo Drift en un atraco de 285 millones de dólares — TRM Labs
• Drift obtiene un fondo de rescate de 148 millones de dólares y Tether reemplazará al USDC de Circle para la liquidación — CoinDesk
• Actualización de recuperación de incidentes – 16 de abril de 2026 — Drift Updates
• 'Tenemos un riesgo limitado:' Jupiter Lend aborda los temores de contagio de DeFi en Solana — AMBCrypto
• Project 0 lanza el primer prime broker de DeFi multi-sede de Solana — SolanaFloor
• La historia más importante en cripto en 2022: Contagio — de Terra a FTX — Decrypt
• El presidente de la CFTC, Michael Selig, describe los planes de reglamentación de DeFi y mercados de predicción — CoinDesk