DeFi世界里，协议之间“你中有我、我中有你”的紧密耦合，这次又给出了一个血淋淋的教训。Carrot，一个基于Solana的收益协议，因为把资金锁在了Drift的金库里，结果Drift一出事，它自己直接“断腿”——损失了约50%的锁定价值，成为第一个公开确认遭殃的受害者。铸造和赎回功能随之冻结，整个风险传导链条，清晰得让人后背发凉。

一个月之内，Carrot的总锁仓价值（TVL）从2800万美元暴跌93%，只剩下199万美元。资金链断裂，难以为继。本周四，Carrot正式宣布将永久关闭，成为4月初Drift Protocol那场2.85亿美元漏洞攻击引发的连锁反应中，第一批倒下的DeFi协议之一。

在周四的X帖子里，Carrot团队直言，这次漏洞对他们来说是“灾难性的”，财务上已经撑不下去了。平台设定了5月14日作为用户提取剩余资金的最后期限，同时表示会继续配合Drift方面的恢复工作，等资产到位后再进行分配。“我们设定5月14日为最后期限，届时将从Boost、Turbo和CRT中提取所有剩余资金，随后我们将开始对系统进行去杠杆化。您存入的资金仍归您所有，但所有杠杆将被降至零，从而释放全部流动性以用于CRT的赎回。”这段话读下来，能感受到团队在尽力善后，但无奈成分很重。

回过头看4月1日那次Drift协议漏洞攻击，它已经是2026年第二大的漏洞事件了。一群黑客花了几个月搞社会工程攻击，最终拿到管理员权限，一口气抽走了协议一半以上的锁定总价值——高度协同，精心策划。而且这种“传染效应”不光影响了Carrot，还波及到了收益协议Gauntlet、借贷平台PrimeFi、加密货币基金Elemental DeFi等多个关联项目。

说白了，Carrot就是跟Drift的基础设施深度集成，依靠Drift的资金池给用户创造收益。一旦Drift的池子被掏空，Carrot的TVL自然跟着跳水。DefiLlama的数据清晰显示了这一点：攻击前Carrot的TVL约2800万美元，攻击后直接降到199万美元，跌幅接近93%。

Drift黑客事件后，Carrot的TVL大幅下降。来源：DefiLlama

再放大到整个4月份，DefiLlama统计了25起安全事件，导致近6.3亿美元的数字资产被盗——这是自2025年2月被盗14.7亿美元以来，损失最惨的一个月。其中，对流动性质押协议Kelp的2.93亿美元攻击，是2026年至今最大的一起；Drift的2.85亿美元紧随其后。这两起加在一起，占了4月份所有被盗加密货币的90%以上。换句话说，整个月几乎就是这两颗“核弹”撑起来的，其他的都是小打小闹。

站在行业角度来看，DeFi的“乐高积木”玩法固然灵活高效，但每一块积木的脆弱性，都可能在下一个环节被放大。Carrot的倒下，或许只是第一张倒下的多米诺骨&牌。