O Encerramento do Carrot Protocol Acaba de Provar que a Composabilidade de DeFi Sempre Foi um Vetor de Contágio

O Carrot Protocol nunca foi hackeado. Seus contratos inteligentes não foram comprometidos, suas chaves de administrador não sofreram phishing e sua equipe não aplicou um "rug pull". No entanto, em 30 de abril de 2026, o agregador de rendimentos (yield aggregator) da Solana disse aos seus usuários para sacarem tudo até 14 de maio porque metade do seu TVL havia desaparecido em uma exploração de terceiros.

Aquele "alguém" era o Drift Protocol, a plataforma de futuros perpétuos que perdeu aproximadamente US$285 milhões em 1º de abril para o que os investigadores acreditam ter sido um ataque de "durable-nonce" ligado à Coreia do Norte. Os produtos Boost e Turbo do Carrot vinham roteando silenciosamente os depósitos dos usuários através de cofres (vaults) integrados ao Drift. Quando o Drift sangrou, o Carrot sangrou. Cerca de US$ 8 milhões dos aproximadamente US$ 16 milhões em depósitos do Carrot na época foram drenados "downstream" — 50 % do TVL desapareceu da noite para o dia, sem qualquer erro por parte do Carrot.

Trinta dias depois, o Carrot é o primeiro protocolo a encerrar formalmente as atividades devido a essa exposição. Quase certamente não será o último. Seu fechamento é o momento em que a indústria DeFi não pode mais ignorar a pergunta que paira sob a superfície desde 2020: quando os "money LEGOs" se encaixam, quem é o responsável pela falha quando um bloco inferior cede?

O que Realmente Aconteceu com o Carrot

O Carrot foi lançado como um "sistema operacional" de rendimento para a Solana — uma interface de depósito única que abstraía a complexidade de rotear capital através da superfície de rendimento fragmentada da rede. Os usuários depositavam stablecoins (USDC, USDT, PYUSD) e recebiam CRT, um token de recibo com rendimento. Nos bastidores, três produtos principais realizavam o trabalho:

• Boost aceitava colateral com rendimento como JLP, FLP e ONYC, e então automatizava o "looping" e empréstimos para aumentar a alavancagem.
• Turbo oferecia exposição alavancada gerenciada a SOL, BTC e até GOLD tokenizado.
• CRT funcionava como uma stablecoin com rendimento, sem taxas e sem período de bloqueio (lockup).

No seu pico, o Carrot deteve mais de US$32 milhões em TVL. No dia anterior ao exploit do Drift, ele estava em torno de US$ 28 milhões. Em 30 de abril, quando a equipe publicou o aviso de encerramento, o DefiLlama mostrava aproximadamente US$ 1,99 milhão restante — um colapso de 93 % em 30 dias, mesmo após o Carrot ter feito um snapshot dos saldos de CRT às 20:00 UTC de 1º de abril para preservar quaisquer reivindicações futuras de recuperação do Drift.

A explicação mecânica é simples. As estratégias do Boost e do Turbo foram parcialmente construídas sobre o Drift. Quando os cofres do Drift foram drenados, a perda fluiu diretamente para as posições de estratégia do Carrot. Os usuários ainda detinham CRT, mas os ativos que lastreavam o CRT haviam evaporado parcialmente "upstream". Os saques aceleraram. As posições de estratégia restantes não conseguiram se sustentar em escala. O encerramento foi a única atitude honesta que restou.

O que torna o anúncio do Carrot estruturalmente importante é a ausência de um vilão no protocolo em si. Não há drama de chave de administrador, nenhuma votação de governança sendo contestada, nenhum desenvolvedor desonesto. O Carrot fez exatamente o que seus documentos diziam que faria e, ainda assim, falhou.

O Exploit do Drift, em Resumo

Para entender por que vale a pena escrever sobre o Carrot como algo mais do que um simples encerramento, o evento ocorrido "upstream" merece um rápido resumo.

Em 1º de abril de 2026, começando aproximadamente às 16:05 UTC, os atacantes ganharam controle administrativo do Drift Protocol e drenaram cerca de US$ 285 milhões de seus cofres — eliminando mais de 50 % do TVL do Drift e tornando este o maior hack de DeFi de 2026 e a segunda maior exploração na história da Solana, atrás apenas do incidente da ponte Wormhole em 2022.

O ataque não foi um bug de contrato inteligente. Foi uma operação de engenharia social de meses que explorou o recurso de "durable nonces" da Solana — uma primitiva que permite que uma transação seja assinada antecipadamente e executada posteriormente. De acordo com os relatórios pós-morte da Chainalysis e TRM Labs, os atacantes passaram semanas se passando por uma empresa de trading quantitativo para ganhar a confiança dos contribuidores do Drift. Entre 23 e 30 de março, eles usaram múltiplas contas de durable nonce para enganar os signatários do multisig do Conselho de Segurança do Drift a pré-assinar o que pareciam ser transações rotineiras, mas que na verdade continham autorizações ocultas para ações administrativas críticas.

Eles então implantaram um ativo falso chamado CVT, manipularam seu preço no oráculo para ~US$1, depositaram 500 milhões de CVT e usaram as autorizações administrativas pré-assinadas para sacar US$ 285 milhões em USDC, SOL e ETH reais. Sinais on-chain fortes apontam para atores associados à Coreia do Norte (DPRK).

Duas semanas depois, em 16 de abril, a Tether e parceiros anunciaram um pacote de recuperação de até US$147,5 milhões, incluindo US$ 127,5 milhões da Tether e US$ 20 milhões de outros parceiros, estruturado como uma linha de crédito vinculada à receita, uma doação ao ecossistema e empréstimos de formadores de mercado para um pool de recuperação de usuários dedicado. Como parte do acordo, o Drift mudou seu ativo principal de liquidação de USDC para USDT. Cada usuário impactado está recebendo um token de recuperação transferível que representa uma reivindicação sobre o pool.

Note um detalhe que acaba sendo enormemente importante para o Carrot: esse suporte de US$ 147,5 milhões cobre os usuários diretos do Drift. Ele não se estende aos protocolos "downstream" cujas estratégias por acaso estavam depositadas dentro dos cofres do Drift.

Composibilidade Sempre Foi Duas Coisas ao Mesmo Tempo

Os profissionais de marketing de DeFi passaram cinco anos vendendo a composibilidade como algo positivo — "LEGOs de dinheiro", uma "API sem permissão para finanças", "inovação acumulando-se sobre inovação". E ela é tudo isso. Mas a composibilidade sempre foi, também, um mecanismo de transmissão. Se o produto do Protocolo B é construído sobre o vault do Protocolo A, então o risco do Protocolo A não pertence apenas ao Protocolo A. Ele pertence igualmente, e silenciosamente, aos usuários do Protocolo B.

A Carrot é o teste mais nítido possível dessa tese porque:

• A Carrot não foi atacada.
• O código da própria Carrot não falhou.
• A perda da Carrot foi 100 % herdada de uma dependência downstream.
• O protocolo que absorveu o ataque primário recebeu um backstop no estilo TradFi. O protocolo downstream não recebeu.

Dos aproximadamente $285 milhões em perdas diretas da Drift, os primeiros ~$ 148 milhões estão sendo absorvidos pelo pool de recuperação da Tether. A exposição em cascata restante de ~$137 milhões vive agora em algum lugar — parte dentro de vaults como os da Carrot, parte dentro de empresas de trading que usavam a Drift como parte de sua pilha de estratégia, parte dentro de outros protocolos que ainda estão trabalhando em seus post-mortems. Os$ 8 milhões da Carrot são a primeira peça publicamente reconhecida desse dano de segunda ordem. É improvável que seja a última.

Este não é um problema específico da Solana. É uma propriedade universal do DeFi composível. O Ethereum viu versões disso durante o colapso da FTX em novembro de 2022, quando protocolos e credores que tratavam as contrapartes relacionadas à FTX como isentas de risco descobriram, às vezes semanas depois, que não eram. O desenrolar do LUNA-Anchor em maio de 2022 seguiu o mesmo padrão: o rendimento do Anchor foi construído sobre a mecânica do Terra que todos assumiam que se manteria firme.

Ambos os episódios tiveram um tempo reconhecível. A Celsius interrompeu os saques em 12 de junho de 2022. A Voyager entrou com pedido de falência em 5 de julho. A 3AC foi liquidada em 15 de junho. A Genesis pausou os resgates em novembro, após a implosão da FTX. O intervalo entre a falha primária e as falhas secundárias visíveis foi geralmente de 30 a 90 dias.

O exploit da Drift ocorreu em 1º de abril. A Carrot anunciou o encerramento em 30 de abril. Estamos exatamente na janela onde, historicamente, a segunda onda de repercussões se torna visível.

Quem Está Realmente Exposto

A Drift era, pelo volume histórico de perpétuos, uma das maiores plataformas de derivativos na Solana. Estimativas colocam o volume cumulativo na casa das dezenas de bilhões de dólares. Esse tipo de hub de liquidez atraiu naturalmente construtores de estratégias. Agregadores de yield roteavam para a Drift. Camadas de prime-brokerage foram construídas sobre ela. Produtos de vault ofereciam exposição alavancada com a Drift como motor.

O Project 0, por exemplo, lançou um prime broker DeFi na Solana multi-plataforma que se integrava com plataformas incluindo Kamino, Drift e Jupiter, permitindo que os usuários tomassem empréstimos e gerenciassem riscos em todo o seu portfólio, em vez de manter posições isoladas em plataformas individuais. Esse é exatamente o tipo de design de margem unificada que transforma a falha de um protocolo em um evento que afeta todo o portfólio.

O próprio mercado de empréstimos da Solana — com cerca de $ 5 bilhões de tamanho — está agora debatendo abertamente o risco de composibilidade. O Jupiter Lend enfrentou uma disputa pública até o final de 2025 sobre se sua arquitetura de "vault isolado" realmente protegia os usuários da rehypothecation, com a Kamino bloqueando migrações para o Jupiter Lend devido ao que caracterizou como risco total de contaminação cruzada, apesar do marketing de isolamento da Jupiter. Desde então, a Kamino se posicionou como a alternativa de mercado modular e isolado.

O encerramento da Carrot não valida nenhum dos lados desse argumento específico. O que ele valida é a afirmação subjacente de que o risco ultrapassa as fronteiras do protocolo, mesmo quando as equipes acreditam sinceramente que sua arquitetura o isola. Porque a exposição da Carrot à Drift não foi através de alguma cadeia exótica de rehypothecation — foi através de um roteamento de estratégia comum, anunciado e transparente. E ainda assim produziu uma perda de 50 % no TVL que o protocolo não conseguiu sobreviver.

Se você está operando um produto de yield nativo da Solana, um agregador ou uma camada de prime-brokerage agora, um exercício sensato é publicar — em linguagem simples — cada protocolo externo que os fundos dos seus usuários tocam no decorrer de qualquer estratégia ativa. Os usuários da Carrot teriam se beneficiado dessa divulgação em 31 de março. O custo de produzi-la em 1º de maio é enormemente maior.

O Que Isso Significa para os Reguladores

O encerramento da Carrot é o estudo de caso regulatório mais nítido possível porque remove todas as variáveis de confusão. Não é uma história sobre má gestão, um golpe de saída (exit scam) ou mesmo falta de higiene operacional. É uma história sobre um protocolo falhando por causa de uma dependência que ele divulgou, mas cujo risco os usuários não internalizaram.

Isso torna este o argumento mais forte até agora para a posição de que protocolos DeFi acima de um certo TVL ou contagem de usuários devem ser obrigados a divulgar seu grafo de composibilidade — quais contratos de outros protocolos eles invocam, com que fração dos fundos dos usuários e sob quais condições de estresse. Alguma versão disso já está implícita na coordenação contínua de 2026 entre a SEC e a CFTC. As agências assinaram um Memorando de Entendimento em março de 2026 para desenvolver uma "estrutura regulatória adequada ao propósito" para ativos digitais, e a CFTC, sob a presidência de Michael Selig, sinalizou a criação de regras em torno de provedores de software DeFi, negociação spot alavancada e sistemas de negociação baseados em IA.

A divulgação da composibilidade ainda não apareceu como uma prioridade nomeada nesses fluxos de trabalho. O fechamento da Carrot é o tipo de evento que a coloca na lista. O programa OCCIP do Tesouro — a instalação de compartilhamento de inteligência sobre ameaças cibernéticas cripto que entrou em operação no início de abril de 2026 — está agora sendo testado operacionalmente por este exato cenário. Pode uma camada de inteligência coordenada identificar o próximo protocolo exposto downstream antes que seus usuários se antecipem à divulgação? Esse é o teste que o contágio da Drift lhe entregou.

Há também uma questão regulatória mais silenciosa escondida no backstop financiado pela Tether. O compromisso de recuperação de $ 147,5 milhões da Tether é grande, inovador e estruturalmente com sabor de TradFi — um emissor privado de stablecoin garantindo a recuperação para um protocolo DeFi público cujos usuários ele não atende formalmente. É uma vitória de credibilidade. É também um precedente. Se os backstops ao estilo Tether se tornarem uma expectativa normal para grandes falhas de DeFi, quem decide quais protocolos downstream estão dentro e fora do perímetro de recuperação? Os usuários da Carrot estão atualmente fora dele. O mesmo ocorre com os detentores de snapshots CRT da Carrot. Eles aguardam por um IOU incerto.

O que isso significa para os desenvolvedores

Algumas lições práticas para qualquer pessoa lançando DeFi hoje:

• Trate a composibilidade como um item do balanço patrimonial, não como um recurso de marketing. Cada protocolo externo que suas estratégias invocam é um empréstimo sem garantia para o modelo de segurança desse protocolo. Precifique-o adequadamente.
• Publique seu gráfico de composibilidade. Uma página simples de "para onde vão os fundos dos usuários", atualizada mensalmente, teria fornecido aos usuários do Carrot as informações necessárias para dimensionar sua exposição. A versão que o Carrot está publicando agora, em sua postagem de encerramento, contém os mesmos dados — apenas entregues após a perda, em vez de antes.
• Tire snapshots antes de precisar deles. O Carrot tirou um snapshot de CRT às 20:00 UTC em 1º de abril especificamente para que qualquer recuperação futura da Drift pudesse ser distribuída proporcionalmente. Essa única peça de higiene operacional é a diferença entre uma reivindicação recuperável e uma que desapareceu.
• Planeje-se para a segunda onda. Se o seu protocolo usa Drift, Marginfi, Kamino, Jupiter ou qualquer outro grande local de liquidez da Solana como um bloco de construção, você está dentro de uma janela de 30 a 90 dias na qual os padrões de contágio passados sugerem que efeitos secundários visíveis aparecem. Realize testes de estresse em suas estratégias para o caso de um desses locais sofrer uma tempestade repentina de saques.

Há um comportamento de infraestrutura que vale a pena sinalizar: de uma perspectiva de RPC, um protocolo que passa por um desmonte induzido por composibilidade parece idêntico a um protocolo sob ataque. O tráfego repentino de tempestade de saques, a instabilidade de oráculos, o acúmulo de bots de MEV e as liquidações entre protocolos mostram a mesma assinatura de carga do nó, quer a causa subjacente seja maliciosa ou estrutural. Os operadores que atendem ao ecossistema DeFi da Solana precisam ser capazes de distinguir os dois em tempo quase real, porque a primeira hora de resposta ao incidente molda os próximos 30 dias de consequências.

A verdadeira questão

A frase mais importante no anúncio de encerramento do Carrot é a mais simples. A equipe disse que o protocolo não era mais viável como um agregador de rendimento (yield aggregator) após a exposição à Drift se concretizar. Traduzido: o modelo de negócio de "roteamos seus depósitos de forma inteligente entre outros protocolos" só funciona quando os outros protocolos são, por si só, robustos. No momento em que um grande local de origem falha catastroficamente, a proposta de valor do agregador se inverte — em vez de diversificar o risco, ele o concentra.

Esse é um problema sério para toda uma camada de DeFi. Agregadores de rendimento, prime brokers, plataformas de vault, emissores de produtos estruturados — cada protocolo cujo argumento de venda é "gerenciamos a complexidade para você em outros protocolos" herda essa propriedade. A era de 2020-2024 assumiu que os protocolos subjacentes eram confiáveis o suficiente ou seguráveis o suficiente para tornar essa abstração segura. O fechamento do Carrot é a refutação empírica.

O próximo mês nos dirá o quão disseminado é realmente o dano de segunda ordem. Se o contágio da Drift seguir seus análogos de 2022 — e não há razão óbvia para que não siga — então de 14 de maio a 1º de junho é a janela na qual os próximos dois ou três fechamentos de protocolos ou grandes divulgações de perdas devem ocorrer. Observe de perto o espaço de rendimento DeFi da Solana. Os protocolos que publicarem seus gráficos de dependência proativamente nas próximas duas semanas são os que não têm nada a esconder. Aqueles que permanecerem em silêncio merecem um olhar mais atento.

A composibilidade foi vendida como o recurso matador do DeFi. É também o vetor de contágio do DeFi. Ambas as coisas sempre foram verdadeiras. O Carrot é o primeiro protocolo de 2026 honesto o suficiente — ou azarado o suficiente — para admitir isso.

---

A BlockEden.xyz opera infraestrutura RPC de nível de produção em Solana, Sui, Aptos, Ethereum e mais de 30 outras redes, com a observabilidade necessária para distinguir uma tempestade de saques de um exploit ativo em tempo real. Se você está construindo infraestrutura DeFi que precisa sobreviver a ambos, explore nosso marketplace de API.

Fontes

• Protocolo de rendimento da Solana Carrot encerra atividades após exploit de US$ 8 milhões — 99Bitcoins
• Protocolo Carrot encerrará atividades após brecha na Drift eliminar TVL — crypto.news
• Protocolo de rendimento da Solana Carrot encerra atividades após exploit na Drift drenar US$ 8 milhões em TVL — Bitcoin.com News
• Carrot torna-se a primeira vítima DeFi do exploit de US$ 285 milhões na Drift — Crypto Times
• TVL do Carrot colapsa 93% em um mês após ataque à Drift — IDOSLaunchPad
• Ataque ao protocolo Drift: como o acesso privilegiado levou a uma perda de US$ 285 milhões — Chainalysis
• Hackers norte-coreanos atacam protocolo Drift em roubo de US$ 285 milhões — TRM Labs
• Drift recebe fundo de resgate de US$ 148 milhões e Tether substituirá o USDC da Circle para liquidação — CoinDesk
• Atualização de recuperação de incidente – 16 de abril de 2026 — Drift Updates
• "Temos risco limitado:" Jupiter Lend aborda temores de contágio DeFi na Solana — AMBCrypto
• Project 0 lança o primeiro Prime Broker DeFi multi-local da Solana — SolanaFloor
• A maior história cripto de 2022: Contágio — De Terra a FTX — Decrypt
• Presidente da CFTC Michael Selig descreve planos de regulamentação para DeFi e mercados de previsão — CoinDesk