Закрытие Carrot Protocol доказало, что компонуемость DeFi всегда была вектором заражения

Carrot Protocol никогда не подвергался взлому. Его смарт-контракты не были скомпрометированы, администраторские ключи не были похищены через фишинг, а команда не совершала «рагпул» (rug pull). Тем не менее, 30 апреля 2026 года агрегатор доходности на базе Solana призвал своих пользователей вывести все средства до 14 мая, поскольку половина его TVL (общей заблокированной стоимости) исчезла в результате эксплойта стороннего протокола.

Этим «кем-то другим» был Drift Protocol — площадка для торговли бессрочными фьючерсами, которая 1 апреля потеряла около 285 млн $в результате атаки с использованием долговечных нонсов (durable-nonce attack), которую следователи связывают с Северной Кореей. Продукты Boost и Turbo от Carrot незаметно направляли депозиты пользователей через хранилища (vaults), интегрированные с Drift. Когд�а Drift «закровоточил», Carrot последовал его примеру. Около 8 млн$ из примерно 16 млн $ депозитов Carrot на тот момент были выведены «ниже по течению» — 50 % TVL исчезло за одну ночь без какой-либо ошибки со стороны самого Carrot.

Тридцать дней спустя Carrot стал первым протоколом, который официально закрылся из-за этих последствий. И он почти наверняка не будет последним. Его закрытие — это момент, когда индустрия DeFi больше не может отмахиваться от вопроса, который назревал с 2020 года: когда «денежные кубики LEGO» соединяются вместе, кто несет ответственность за провал, когда один из нижних блоков рушится?

Что на самом деле произошло с Carrot

Carrot запустился как «операционная система» доходности для Solana — единый интерфейс депозитов, который абстрагировал сложность маршрутизации капитала по фрагментированной поверхности доходности сети. Пользователи вносили стейблкоины (USDC, USDT, PYUSD) и получали CRT — приносящий доход токен-квитанцию. За кулисами работали три основных продукта:

• Boost принимал приносящее доход обеспечение, такое как JLP, FLP и ONYC, а затем автоматизировал циклы займов (looping) и кредитование для увеличения кредитного плеча.
• Turbo предлагал управляемую позицию с кредитным плечом на SOL, BTC и даже токенизированное золото (GOLD).
• CRT сам по себе функционировал как приносящий доход стейблкоин без комиссий и периодов блокировки.

На пике своего развития TVL Carrot превышал 32 млн $. За день до эксплойта Drift он составлял около 28 млн$. К 30 апреля, когда команда опубликовала уведомление о закрытии, данные DefiLlama показывали остаток в размере около 1,99 млн $ — обвал на 93 % за 30 дней, даже после того, как Carrot сделал снимок (snapshot) балансов CRT 1 апреля в 20:00 UTC, чтобы сохранить любые будущие претензии на возмещение от Drift.

Механическая сторона истории проста. Стратегии Boost и Turbo были частично построены на базе Drift. Когда хранилища Drift были опустошены, убытки напрямую отразились на позициях стратегий Carrot. У пользователей по-прежнему оставались токены CRT, но активы, обеспечивающие CRT, частично испарились «выше по течению». Вывод средств ускорился. Оставшиеся позиции стратегий не могли поддерживать себя в масштабе. Закрытие было единственным честным решением.

Что делает объявление Carrot структурно важным, так это отсутствие злоумышленника внутри самого протокола. Здесь нет драмы с администраторскими ключами, нет оспариваемых голосований по управлению, нет недобросовестного разработчика. Carrot делал именно то, что было заявлено в его документации, и все равно потерпел неудачу.

Коротко об эксплойте Drift

Чтобы понять, почему о Carrot стоит писать как о чем-то большем, чем просто об одном закрытии, стоит кратко напомнить о событии, произошедшем «выше по течению».

1 апреля 2026 года, начиная примерно с 16:05 UTC, злоумышленники получили административный контроль над Drift Protocol и вывели из его хранилищ около 285 млн $, уничтожив более 50 % TVL Drift. Это стало крупнейшим взломом в сфере DeFi в 2026 году и вторым по величине эксплойтом в истории Solana, уступая лишь инциденту с мостом Wormhole в 2022 году.

Атака не была вызвана ошибкой в смарт-контракте. Это была многомесячная операция социальной инженерии, использовавшая функцию «долговечных нонсов» (durable nonces) в Solana — примитив, который позволяет подписывать транзакцию заранее и выполнять ее позже. Согласно отчетам Chainalysis и TRM Labs, злоумышленники неделями выдавали себя за фирму, занимающуюся количественной торговлей, чтобы завоевать доверие участников Drift. В период с 23 по 30 марта они использовали несколько аккаунтов с долговечными нонсами, чтобы обманом заставить подписантов мультисига Совета безопасности Drift предварительно подписать транзакции, которые выглядели как обычные операции, но на самом деле содержали скрытые разрешения на критические административные действия.

Затем они развернули фальшивый актив под названием CVT, манипулировали его ценой через оракул до уровня ~1 $, внесли 500 миллионов CVT и использовали предварительно подписанные администраторские разрешения для вывода 285 млн$ в реальных USDC, SOL и ETH. Серьезные ончейн-сигналы указывают на субъектов, связанных с КНДР.

Две недели спустя, 16 апреля, компания Tether и партнеры объявили о пакете восстановления на сумму до 147,5 млн $, включая 127,5 млн$ от Tether и 20 млн $ от других партнеров. Пакет был структурирован как кредитная линия с привязкой к выручке, экосистемный грант и займы для маркет-мейкеров в специально созданный пул восстановления пользователей. В рамках сделки Drift сменил свой основной расчетный актив с USDC на USDT. Каждому пострадавшему пользователю выдается передаваемый токен восстановления, представляющий собой право на претензию к пулу.

Обратите внимание на одну деталь, которая оказалась чрезвычайно важной для Carrot: эта страховочная сетка в 147,5 млн $ покрывает прямых пользователей Drift. Она не распространяется на сторонние протоколы, чьи стратегии случайно оказались размещены внутри хранилищ Drift.

Компонуемость всегда была двумя вещами одновременно

DeFi-маркетологи пять лет продвигали компонуемость как нечто позитивное — «денежное LEGO», «безразрешительный API для финансов», «инновации, накладывающиеся на инновации». И все это правда. Но компонуемость также всегда была механизмом передачи рисков. Если продукт Протокола B построен на базе хранилища Протокола A, то риск Протокола A — это не только риск Протокола A. Он в равной степени и неявно принадлежит пользователям Протокола B.

Carrot — это чистейший тест данного тезиса, потому что:

• Carrot не подвергался атаке.
• Собственный код Carrot не давал сбоев.
• Убытки Carrot на 100 % были унаследованы от нисходящей зависимости.
• Протокол, принявший на себя основной удар, получил страховочный механизм в стиле TradFi. Протокол, находящийся ниже по цепочке, — нет.

Из примерно 285 миллионов долларов прямых убытков Drift, первые ~ 148 миллионов поглощаются пулом восстановления Tether. Оставшиеся ~ 137 миллионов долларов каскадных рисков теперь находятся где-то в системе — частично внутри хранилищ, таких как у Carrot, частично внутри торговых фирм, которые использовали Drift как часть своего стека стратегий, частично внутри других протоколов, которые все еще проводят анализ инцидентов. 8 миллионов долларов Carrot — это первая публично признанная часть этого ущерба второго порядка. Вряд ли она станет последней.

Это проблема не только Solana. Это универсальное свойство компонуемого DeFi. Ethereum видел подобные сценарии во время краха FTX в ноябре 2022 года, когда протоколы и кредиторы, считавшие контрагентов, связанных с FTX, безрисковыми, спустя недели обнаруживали, что это не так. Крах LUNA-Anchor в мае 2022 года последовал по той же схеме: доходность Anchor строилась на механике Terra, которая, как все предполагали, выстоит.

Оба эпизода имели узнаваемые тайминги. Celsius приостановил вывод средств 12 июня 2022 года. Voyager подал заявление о банкротстве 5 июля. 3AC был ликвидирован 15 июня. Genesis приостановил выплаты в ноябре после краха FTX. Лаг между первичным сбоем и видимыми вторичными сбоями обычно составлял от 30 до 90 дней.

Эксплойт Drift произошел 1 апреля. Carrot объявил о закрытии 30 апреля. Мы находимся именно в том окне, когда исторически становится видимой вторая волна последствий.

Кто на самом деле подвержен риску

Drift был одной из крупнейших площадок по объему бессрочных контрактов на Solana за все время существования. По оценкам, совокупный объем составил десятки миллиардов долларов. Такой центр ликвидности закономерно привлекал разработчиков стратегий. Агрегаторы доходности направляли средства в Drift. Поверх него строились уровни прайм-брокеров. Продукты в виде хранилищ предлагали позиции с кредитным плечом, используя Drift в качестве движка.

Project 0, например, запустил мультиплатформенного прайм-брокера в DeFi на Solana, который интегрировался с такими платформами, как Kamino, Drift и Jupiter, позволяя пользователям заимствовать активы и управлять рисками по всему портфелю, а не поддерживать изолированные позиции на отдельных платформах. Именно такая конструкция единой маржи превращает сбой одного протокола в событие общепортфельного масштаба.

Сам рынок кредитования Solana объемом около 5 миллиардов долларов сейчас открыто обсуждает риски компонуемости. Jupiter Lend столкнулся с публичным спором в конце 2025 года по поводу того, действительно ли архитектура его «изолированного хранилища» защищает пользователей от регипотекации. При этом Kamino блокировал миграции в Jupiter Lend из-за того, что он охарактеризовал как риск полного перекрестного заражения, несмотря на маркетинг изоляции со стороны Jupiter. С тех пор Kamino позиционирует себя как модульную альтернативу с изолированными рынками.

Закрытие Carrot не подтверждает правоту ни одной из сторон в этом конкретном споре. Оно подтверждает основной тезис: риск пересекает границы протоколов, даже если команды искренне верят, что их архитектура его изолирует. Потому что зависимость Carrot от Drift не была какой-то экзотической цепочкой регипотекации — она осуществлялась через обычную, заявленную и прозрачную маршрутизацию стратегий. И все равно это привело к потере 50 % TVL, которую протокол не смог пережить.

Если вы сейчас управляете нативным продуктом доходности на Solana, агрегатором или уровнем прайм-брокера, разумным шагом будет опубликовать простым языком список всех внешних протоколов, с которыми взаимодействуют средства ваших пользователей в рамках любой активной стратегии. Пользователи Carrot выиграли бы от такого раскрытия информации 31 марта. Цена публикации 1 мая неизмеримо выше.

Что это значит для регуляторов

Закрытие Carrot — это чистейший кейс для регуляторов, так как в нем отсутствуют побочные переменные. Это история не о бесхозяйственности, экзит-скаме или даже плохой операционной гигиене. Это история о крахе протокола из-за зависимости, о которой было заявлено, но риски которой пользователи не осознали в полной мере.

Это становится сильнейшим аргументом в пользу того, что DeFi-протоколы с определенным уровнем TVL или количеством пользователей должны быть обязаны раскрывать свой «граф компонуемости» — контракты каких протоколов они вызывают, какую долю средств пользователей используют и при каких стрессовых условиях. Некая версия этого уже подразумевается в текущей координации SEC и CFTC на 2026 год. В марте 2026 года ведомства подписали Меморандум о взаимопонимании для разработки «соответствующей целям нормативной базы» для цифровых активов, а CFTC под руководством Майкла Селига наметила создание правил для поставщиков программного обеспечения DeFi, спотовой торговли с плечом и торговых систем на базе ИИ.

Раскрытие компонуемости еще не значится как приоритетное направление в этих рабочих процессах. Закрытие Carrot — это то событие, которое внесет его в список. Программа OCCIP Министерства финансов — центр обмена разведданными о киберугрозах в криптосфере, заработавший в начале апреля 2026 года, — сейчас проходит проверку на прочность именно по этому сценарию. Сможет ли скоординированный уровень разведки выявить следующий уязвимый протокол до того, как его пользователи начнут действовать на опережение раскрытия информации? Именно этот тест преподнес «вирус» Drift.

Есть также более тихий регуляторный вопрос, скрытый за страховочным механизмом от Tether. Обязательство Tether по восстановлению в размере 147,5 миллионов долларов — масштабное, новое и по своей структуре напоминающее TradFi. Частный эмитент стейблкоинов гарантирует восстановление публичного DeFi-протокола, пользователей которого он формально не обслуживает. Это победа для репутации. Но это также и прецедент. Если страховочные механизмы в стиле Tether станут нормой при крупных сбоях в DeFi, кто будет решать, какие протоколы находятся внутри периметра восстановления, а какие — нет? Пользователи Carrot на данный момент находятся за его пределами. Как и держатели снапшота CRT. Они ждут неопределенную «долговую расписку» (IOU).

Что это значит для разработчиков

Несколько практических выводов для тех, кто создает DeFi сегодня:

• Относитесь к компонуемости как к статье баланса, а не как к маркетинговой фиче. Каждый внешний протокол, который задействуют ваши стратегии, — это необеспеченный кредит под модель безопасности этого протокола. Оценивайте его соответствующим образом.
• Опубликуйте свой граф компонуемости. Простая страница «куда уходят средства пользователей», обновляемая ежемесячно, дала бы пользователям Carrot информацию, необходимую для оценки их рисков. Версия, которую Carrot публикует сейчас в сообщении о закрытии, — это те же данные, только предоставленные после потери, а не до нее.
• Делайте снимки (снапшоты) до того, как они понадобятся. Carrot сделал CRT-снимок 1 апреля в 20:00 UTC именно для того, чтобы любое будущее возмещение от Drift могло быть распределено пропорционально. Этот единственный элемент операционной гигиены отделяет возмещаемое требование от безвозвратно утерянного.
• Планируйте вторую волну. Если ваш протокол использует Drift, Marginfi, Kamino, Jupiter или любую другую крупную площадку ликвидности на Solana в качестве строительного блока, вы находитесь в окне от 30 до 90 дней, в котором, согласно прошлым паттернам распространения кризиса, проявляются видимые вторичные эффекты. Проведите стресс-тестирование своих стратегий на случай, если на одной из этих площадок начнется внезапный «шторм выводов».

Стоит отметить один аспект поведения инфраструктуры: с точки зрения RPC протокол, переживающий сворачивание из-за проблем с компонуемостью, выглядит идентично протоколу, находящемуся под атакой. Внезапный трафик шторма выводов, нестабильность оракулов, наплыв MEV-ботов и кросс-протокольные ликвидации — все это имеет одинаковую сигнатуру нагрузки на ноду, независимо от того, является ли первопричина злонамеренной или структурной. Операторы, обслуживающие Solana DeFi, должны уметь различать эти два состояния почти в реальном времени, потому что первый час реагирования на инцидент определяет последствия на следующие 30 дней.

Главный вопрос

Самое важное предложение в объявлении о закрытии Carrot — самое простое. Команда заявила, что протокол перестал быть жизнеспособным как агрегатор доходности после того, как реализовались риски, связанные с Drift. В переводе: бизнес-модель «мы разумно распределяем ваши депозиты по другим протоколам» работает только тогда, когда сами эти протоколы надежны. В тот момент, когда крупная вышестоящая площадка терпит катастрофическую неудачу, ценностное предложение агрегатора инвертируется — вместо диверсификации риска он его концентрирует.

Это серьезная проблема для целого уровня DeFi. Агрегаторы доходности, прайм-брокеры, платформы хранилищ (vault-платформы), эмитенты структурных продуктов — каждый протокол, чье преимущество заключается в «мы управляем сложностью за вас в других протоколах», наследует это свойство. В эпоху 2020–2024 годов предполагалось, что лежащие в основе протоколы либо достаточно надежны, либо достаточно застрахованы, чтобы сделать эту абстракцию безопасной. Закрытие Carrot — это эмпирическое опровержение.

Следующий месяц покажет нам, насколько масштабным окажется ущерб второго порядка. Если заражение от Drift пойдет по сценариям 2022 года — а нет очевидных причин, почему бы этого не произошло, — то период с 14 мая по 1 июня станет окном, в котором должны появиться сообщения о закрытии еще двух-трех протоколов или раскрытии крупных убытков. Внимательно следите за сектором доходности Solana DeFi. Протоколы, которые проактивно опубликуют свои графы зависимостей в ближайшие две недели, — это те, кому нечего скрывать. К тем же, кто хранит молчание, стоит присмотреться повнимательнее.

Компонуемость преподносилась как «киллер-фича» DeFi. Она же является вектором распространения кризиса в DeFi. Оба этих утверждения всегда были верны. Carrot — первый протокол 2026 года, достаточно честный (или достаточно невезучий), чтобы признать это.

---

BlockEden.xyz управляет RPC-инфраструктурой промышленного уровня в сетях Solana, Sui, Aptos, Ethereum и более чем 30 других блокчейнах, обеспечивая наблюдаемость, необходимую для того, чтобы в реальном времени отличить шторм выводов от активного эксплойта. Если вы строите DeFi-инфраструктуру, которая должна пережить и то, и другое, ознакомьтесь с нашим маркетплейсом API.

Источники

• Протокол доходности Solana Carrot закрывается после эксплойта на $ 8 млн — 99Bitcoins
• Протокол Carrot закрывается после взлома Drift, уничтожившего TVL — crypto.news
• Протокол доходности Solana Carrot закрывается после эксплойта Drift, лишившего его $ 8 млн TVL — Bitcoin.com News
• Carrot стал первой жертвой эксплойта Drift на $ 285 млн в секторе DeFi — Crypto Times
• TVL Carrot обвалился на 93 % за месяц после взлома Drift — IDOSLaunchPad
• Взлом протокола Drift: как привилегированный доступ привел к потере $ 285 млн — Chainalysis
• Северокорейские хакеры атаковали протокол Drift в результате кражи на $ 285 млн — TRM Labs
• Drift получает фонд спасения на $ 148 млн, а Tether заменит USDC от Circle для расчетов — CoinDesk
• Обновление по восстановлению после инцидента — 16 апреля 2026 г. — Drift Updates
• «У нас ограниченный риск»: Jupiter Lend комментирует опасения по поводу заражения Solana DeFi — AMBCrypto
• Project 0 запускает первый мультиплатформенный прайм-брокер DeFi на Solana — SolanaFloor
• Главная крипто-история 2022 года: Заражение — от Terra до FTX — Decrypt
• Председатель CFTC Майкл Селиг изложил планы по регулированию DeFi и рынков предсказаний — CoinDesk