受 2.85 億美元 Drift Protocol 黑客攻擊影響，Solana 生態 Carrot 協議正式宣佈關閉

Solana 生態系統的收益協議 Carrot 在 2.85 億美元規模的 Drift Protocol 黑客攻擊事件發生一個月後，正式宣佈停止營運。自 2026 年 4 月 1 日發生攻擊以來，Carrot 的總鎖倉價值 (TVL) 在一個月內驟減了 93%，協議方將 2026 年 5 月 14 日設定為最終提款期限。這被記錄為今年發生的去中心化金融 (DeFi) 黑客事件中，首個導致單一協議破產的主要案例。

Carrot 營運團隊於 2026 年 4 月 30 日透過官方公告表示，將立即啟動協議關閉程序。用戶必須在 2026 年 5 月 14 日之前，收回存放在 Boost、Turbo 及 CRT 池中的所有資產。在該期限結束後，對於仍留下的資產，協議將進行強制去槓桿 (Deleveraging) 程序，這可能會導致資產價值下跌。

「Drift Protocol 黑客攻擊導致的流動性枯竭和基礎設施受損，已超出了我們團隊所能承受的範圍，我們得出的結論是無法繼續維持營運。」

此次事件的起因是 2026 年 4 月 1 日發生的 Drift Protocol 2.85 億美元規模漏洞攻擊 (Exploit)。攻擊者透過創建虛假代幣並奪取管理員密鑰的方式，在短短 12 分鐘內從協議內部大量提取了 USDC 和 JLP 等核心資產。安全專家指出，此次攻擊的幕後黑手為與北韓 (DPRK) 相關的黑客組織，分析認為這並非單純的代碼錯誤，而是精心策劃的社交工程攻擊結果。

資產急劇流失與財務崩潰

在黑客事件發生前，Carrot 的 TVL 約為 2,800 萬美元，但截至 2026 年 5 月 1 日已縮減至 199 萬美元水平。團隊雖然從 4 月初事件初期就開始實施資產整合和槓桿限制等重組方案試圖挽救，但仍無法阻止因投資者失去信心而引發的擠提 (Bank Run) 潮。作為流動性來源的 Drift Protocol 癱瘓，最終導致 Carrot 的獲利模型本身崩潰。

• 2026 年 4 月 1 日：Drift Protocol 遭黑客攻擊，流失 2.85 億美元
• 2026 年 4 月 2 日：Carrot 限制部分市場提款並著手重組
• 2026 年 4 月 30 日：Carrot 正式宣佈停止營運並關閉
• 2026 年 5 月 14 日：用戶資產提取及強制去槓桿截止期限

Carrot 團隊強調，在整個 4 月份期間，他們為維持協議運作付出了多方面的努力。雖然試圖透過限制特定市場的提款並整合資產來確保償付能力，但隨著被困在 Drift Protocol 中的資產回收變得不明朗，最終面臨財務極限。最終，團隊判斷繼續支出營運成本只會減少用戶潛在的回收金額，因此決定關閉。

資產回收程序中最核心的部分是發行 IOU (欠條) 代幣。Carrot 決定引入 IOU 代幣系統，以便分配未來可能從 Drift Protocol 回收的補償金。這將針對 CRT 代幣持有者，根據特定時間點的快照進行分配，並賦予持有者在 Drift 補償計劃啟動時按比例獲得資金分配的權利。

DeFi 安全的新威脅與教訓

此次事件揭示了 2026 年 DeFi 生態系統面臨的新安全挑戰。Drift Protocol 的黑客攻擊並非智能合約漏洞，而是結合了管理員權限奪取和預言機操縱的複合型攻擊。這表明協議不僅需要加強代碼安全，還必須在營運安全 (OpSec) 和治理權限管理方面更加嚴謹。

此外，Carrot 的破產也為高度依賴特定大型協議的「樂高式」DeFi 結構敲響了警鐘。當一個底層協議崩潰時，上層協議連鎖倒塌的傳染效應可能會導致整個 Solana 生態系統的流動性萎縮。業界專家建議，未來在設計協議時應使與外部平台的相互依賴性多樣化，並加強緊急停止機制。

總結而言，Carrot 的關閉對 2026 年上半年的加密貨幣市場造成了巨大衝擊。用戶應在 5 月 14 日截止期限前將資產轉移至個人錢包，以防止進一步損失。Carrot 團隊承諾在協議關閉後仍會透明地公開透過 IOU 代幣進行的補償程序，但預計實際回收資產仍需相當長的時間。