跳到主要内容

Carrot Protocol 的停运刚刚证明了 DeFi 的可组合性一直都是一种传染媒介

· 阅读需 16 分钟
Dora Noda
Dora Noda
Software Engineer

Carrot Protocol 从未被黑。其智能合约未受损,管理员密钥未被钓鱼,团队也没有跑路。然而,在 2026 年 4 月 30 日,这个 Solana 收益聚合器告诉其用户在 5 月 14 日之前撤出所有资金,因为其一半的 TVL 已在别人的漏洞利用中消失。

那个“别人”就是 Drift Protocol,这是一个永续期货交易场所。4 月 1 日,由于调查人员认为的与朝鲜有关的“持久随机数”(durable-nonce)攻击,该协议损失了约 2.85 亿美元。Carrot 的 Boost 和 Turbo 产品一直在悄悄地将用户存款路由到集成 Drift 的金库中。当 Drift “出血”时,Carrot 也在“流血”。当时 Carrot 约 1600 万美元存款中的约 800 万美元在下游被抽干——TVL 一夜之间蒸发了 50%,而 Carrot 本身并无过错。

30 天后,Carrot 成为首个因该风险敞口而正式关闭的协议。它几乎肯定不会是最后一个。它的倒闭标志着 DeFi 行业再也无法回避自 2020 年以来一直潜伏在表象之下的问题:当“货币乐高”拼接在一起时,如果底层的一个积木垮掉,谁该为失败负责?

Carrot 究竟发生了什么

Carrot 作为 Solana 的收益“操作系统”推出——这是一个单一的存款接口,抽象化了在网络零散的收益层中路由资金的复杂性。用户存入稳定币(USDC、USDT、PYUSD)并接收 CRT(一种带息凭证代币)。在幕后,三个核心产品在运作:

  • Boost 接受 JLP、FLP 和 ONYC 等带息抵押品,然后通过自动化的循环和借贷来提高杠杆。
  • Turbo 提供对 SOL、BTC 甚至代币化黄金(GOLD)的托管杠杆风险敞口。
  • CRT 本身作为一种无锁定期、无费用的带息稳定币运行。

Carrot 的 TVL 巅峰时期超过 3200 万美元。在 Drift 漏洞被利用的前一天,其 TVL 接近 2800 万美元。到 4 月 30 日团队发布关闭公告时,DefiLlama 显示剩余资金约为 199 万美元——即使 Carrot 在 4 月 1 日 UTC 时间 20:00 对 CRT 余额进行了快照以保留未来 Drift 赔付索赔权,其 TVL 在 30 天内仍暴跌了 93%。

运行机制的逻辑很简单。Boost 和 Turbo 策略部分构建在 Drift 之上。当 Drift 的金库被掏空时,损失直接流向了 Carrot 的策略仓位。用户仍然持有 CRT,但支持 CRT 的资产已在原头部分蒸发。提现加速。剩余的策略仓位无法维持规模。关闭是唯一诚实的选择。

使 Carrot 的声明具有结构性重要意义的是协议本身并没有反派。没有管理员密钥的闹剧,没有备受质疑的治理投票,也没有反水的主力开发。Carrot 完全按照其文档所述运作,但它还是失败了。

Drift 漏洞简述

为了理解为什么 Carrot 的倒闭不仅仅是一次普通的关闭,值得简单回顾一下上游事件。

2026 年 4 月 1 日,大约从 UTC 时间 16:05 开始,攻击者获得了 Drift Protocol 的管理控制权,并从其金库中抽走了约 2.85 亿美元——抹去了 Drift 超过 50% 的 TVL,使其成为 2026 年最大的 DeFi 黑客事件,也是 Solana 历史上仅次于 2022 年 Wormhole 跨链桥事件的第二大漏洞利用事件。

这次攻击不是智能合约漏洞。这是一场为期数月的社交工程行动,利用了 Solana 的“持久随机数”(durable nonces)特性——这是一种允许预先签署交易并在稍后执行的原语。根据 Chainalysis 和 TRM Labs 的事后分析,攻击者花了数周时间伪装成一家量化交易公司,以建立与 Drift 贡献者的信任。在 3 月 23 日至 3 月 30 日期间,他们使用了多个持久随机数账户,诱导 Drift 安全委员会(Security Council)多签签署人预先签署了看起来像是常规操作的交易,但实际上携带了关键管理操作的隐藏授权。

随后,他们部署了一个名为 CVT 的虚假资产,将其预言机价格操纵至约 1 美元,存入了 5 亿枚 CVT,并利用预先签署的管理授权提取了 2.85 亿美元的真实 USDC、SOL 和 ETH。强有力的链上信号指向与朝鲜相关的行为者。

两周后,即 4 月 16 日,Tether 及其合作伙伴宣布了一项高达 1.475 亿美元的救助方案,包括来自 Tether 的 1.275 亿美元和来自其他合作伙伴的 2000 万美元。该方案结构为与收入挂钩的信贷额度、生态系统赠款以及注入专用用户恢复池的做市商贷款。作为交易的一部分,Drift 将其核心结算资产从 USDC 切换为 USDT。受影响的用户将获得可转让的恢复代币,代表对该资金池的索赔权。

请注意一个对 Carrot 极其重要的细节:那 1.475 亿美元的保障仅涵盖 Drift 的直接用户。它并不延伸到那些恰好将策略存放在 Drift 金库中的下游协议。

可组合性一直具有双重属性

DeFi 营销人员花了五年时间将可组合性宣传为一种优势——“货币乐高”、“金融无许可 API”、“创新叠创新”。它确实具备这些特质。但可组合性一直也是一种传导机制。如果协议 B 的产品建立在协议 A 的保险库之上,那么协议 A 的风险就不再仅仅是协议 A 自己的。它同样且无声地属于协议 B 的用户。

Carrot 是这一论点最清晰的测试案例,因为:

  • Carrot 没有受到攻击。
  • Carrot 自身的代码没有出现故障。
  • Carrot 的损失 100% 继承自下游依赖项。
  • 遭受主要攻击的协议获得了传统金融式的后台支持。而下游协议则没有。

在 Drift 约 2.85 亿美元的直接损失中,首批约 1.48 亿美元由 Tether 的恢复池吸收。剩余约 1.37 亿美元的级联风险敞口现在散布在各处——部分在像 Carrot 这样的保险库中,部分在将 Drift 作为策略栈一部分的交易公司中,还有一部分在仍在进行事后分析的其他协议中。Carrot 的 800 万美元是这笔二阶损失中首个公开承认的部分。这不太可能是最后一个。

这不是 Solana 特有的问题。它是可组合 DeFi 的普遍属性。以太坊在 2022 年 11 月 FTX 崩盘期间也见识过类似情况,当时那些将 FTX 相关对手方视为无风险的协议和贷方,有时在几周后才发现事实并非如此。2022 年 5 月的 LUNA-Anchor 崩盘也遵循同样的模式:Anchor 的收益建立在每个人都认为会维持下去的 Terra 机制之上。

这两次事件都有明显的发生时间点。Celsius 在 2022 年 6 月 12 日停止提款。Voyager 在 7 月 5 日申请破产。3AC 在 6 月 15 日被清算。Genesis 在 FTX 崩盘后的 11 月暂停赎回。主要故障与可见的次级故障之间的滞后期通常为 30 到 90 天。

Drift 漏洞发生在 4 月 1 日。Carrot 在 4 月 30 日宣布关闭。我们现在正处于历史上第二波连锁反应开始显现的时间窗口。

谁实际上暴露在风险中

Drift 按历史永续合约交易量计算,曾是 Solana 上最大的衍生品交易场所之一。据估计,其累计交易量达数百亿美元。这种流动性枢纽自然吸引了策略构建者。收益聚合器接入 Drift。主经纪商层建立在它之上。保险库产品以 Drift 为引擎宣传杠杆敞口。

例如,Project 0 推出了一个集成了 Kamino、Drift 和 Jupiter 等平台的多场所 Solana DeFi 主经纪商,允许用户在整个投资组合中借贷和管理风险,而不是在单个平台上维持孤立的仓位。这正是那种将单一协议故障转化为全组合事件的统一保证金设计。

规模约为 50 亿美元的 Solana 借贷市场本身现在也正在公开辩论可组合性风险。Jupiter Lend 在 2025 年底面临一场公开争议,争论其“隔离保险库”架构是否真正将用户与再抵押风险隔离开来,而 Kamino 则因其所谓的完全交叉污染风险而阻止向 Jupiter Lend 迁移,尽管 Jupiter 宣传的是隔离。Kamino 随后将自己定位为模块化、隔离市场的替代方案。

Carrot 的关闭并没有验证该特定争论的任何一方。它验证的是一个潜在事实:风险确实会跨越协议边界,即使团队真诚地认为他们的架构实现了隔离。因为 Carrot 对 Drift 的敞口并不是通过某种复杂的再抵押链产生的——而是通过普通的、公开宣传的、透明的策略路由产生的。即便如此,它仍然导致了该协议无法承受的 50% TVL 损失。

如果你现在正在运营一个 Solana 原生收益产品、聚合器或主经纪商层,一个明智的做法是用浅显易懂的语言公布你的用户资金在任何活动策略过程中涉及的每一个外部协议。Carrot 用户在 3 月 31 日本来会从这种信息披露中受益。而在 5 月 1 日进行披露的成本要高得多。

这对监管机构意味着什么

Carrot 的关闭是一个极其清晰的监管案例研究,因为它剔除了所有干扰变量。这不是一个关于管理不善、跑路骗局、甚至不是运营卫生差的故事。这是一个关于协议因为其披露过、但用户并未内化其风险的依赖项而失败的故事。

这成为了迄今为止最有力的论据,支持这样一种立场:超过一定 TVL 或用户数量的 DeFi 协议应被要求披露其可组合性图谱——它们调用了哪些其他协议的合约、涉及用户资金的比例是多少、在何种压力条件下。这种观点的某些版本已经隐含在 SEC 和 CFTC 正在进行的 2026 年协调中。两家机构在 2026 年 3 月签署了一份谅解备忘录,以开发一个针对数字资产的“量身定制的监管框架”,而 Michael Selig 主席领导下的 CFTC 已释放出针对 DeFi 软件提供商、杠杆现货交易和 AI 驱动交易系统进行规则制定的信号。

可组合性披露尚未作为这些工作流中的明确优先级出现。Carrot 的关闭是那种会将其列入清单的事件。财政部的 OCCIP 计划——于 2026 年 4 月初上线的加密网络威胁情报共享设施——现在正接受这种情景的操作测试。协调的情报层能否在用户抢先披露之前识别出下一个存在下游敞口的协议?这就是 Drift 传染效应留给它的考验。

在 Tether 资助的后端支持中还隐藏着一个更低调的监管问题。Tether 1.475 亿美元的恢复承诺规模庞大、形式新颖,且具有结构性的传统金融色彩——一家私人稳定币发行方为一家它并未正式服务的公共 DeFi 协议提供恢复担保。这是一个信誉上的胜利。这也是一个先例。如果 Tether 式的后端支持成为重大 DeFi 故障的常态预期,那么由谁来决定哪些下游协议在恢复范围内,哪些在范围外?Carrot 的用户目前处于范围之外。Carrot 的 CRT 快照持有者也是如此。他们只能等待一份不确定的欠条 (IOU)。

对构建者的启示

以下是对于目前正在构建 DeFi 的开发者的一些实际启示:

  • 将可组合性视为资产负债表项目,而非营销特色。 你的策略调用的每个外部协议,本质上都是对该协议安全模型的无抵押贷款。请据此定价。
  • 公开你的可组合性图谱。 一个简单的、每月更新一次的“用户资金去向”页面,就能为 Carrot 用户提供评估风险敞口所需的信息。Carrot 在其关停公告中发布的版本正是这些数据——只不过是在损失发生后才提供的,而不是事前。
  • 在需要之前进行快照。 Carrot 特意在 4 月 1 日 UTC 时间 20:00 进行了 CRT 快照,以便将来 Drift 的任何资金追回都能按比例分配。这项运营规范的细节决定了索赔是可追回的,还是彻底消失的。
  • 为第二波冲击做好准备。 如果你的协议使用 Drift、Marginfi、Kamino、Jupiter 或任何其他大型 Solana 流动性场所作为构建模块,那么你正处于一个 30 到 90 天的窗口期内。根据过去的风险传染模式,明显的次生效应通常会在此时显现。针对其中一个场所遭遇突发提现风暴的情况,对你的策略进行压力测试。

有一项基础设施层面的表现值得关注:从 RPC 的角度来看,由于可组合性引发的风险出清与遭受攻击的协议看起来完全一致。突发的提现风暴流量、预言机剧震、MEV 机器人涌入以及跨协议清算,无论其底层原因是恶意的还是结构性的,都会表现出相同的节点负载特征。服务于 Solana DeFi 的运营商需要能够实时区分这两者,因为事故响应的第一个小时将决定接下来的 30 天连锁反应。

真正的问题

Carrot 关停公告中最重要的一句话也是最简单的。团队表示,在 Drift 风险敞口显现后,该协议作为收益聚合器已不再具有可行性。翻译一下:只有当其他协议本身稳健时,“我们将你的存款智能路由到其他协议”这种业务模型才有效。一旦主要的上游场所发生灾难性故障,聚合器的价值主张就会发生反转——它不再是分散风险,而是集中风险。

这对整个 DeFi 层级来说都是一个严重的问题。收益聚合器、主经纪商、金库平台、结构化产品发行方——每一个以“我们为你管理跨协议的复杂性”为卖点的协议都继承了这一特性。2020-2024 年代假设底层协议足够可靠或有足够的保险来保证这种抽象的安全性。Carrot 的关停是对这一假设的实证证伪。

接下来的一个月将告诉我们次生损害到底有多广。如果 Drift 的传染遵循其 2022 年的类似案例——目前没有理由认为它不会——那么 5 月 14 日到 6 月 1 日就是下两三个协议关停或重大损失披露到来的窗口期。请密切关注 Solana DeFi 收益领域。那些在未来两周内主动发布依赖关系图谱的协议是问心无愧的,而那些保持沉默的协议则值得进一步审视。

可组合性曾被吹捧为 DeFi 的杀手级功能,但它也是 DeFi 的传染媒介。这两点一直都是事实。Carrot 是 2026 年第一个足够诚实——或者说足够倒霉——承认这一点的协议。

BlockEden.xyz 在 Solana、Sui、Aptos、Ethereum 以及 30 多个其他链上运营生产级 RPC 基础设施,具备实时区分提现风暴与活动攻击所需的可观测性。如果你正在构建需要在这两者中生存下来的 DeFi 基础设施,探索我们的 API 市场

来源

Share on Twitter