基于 Solana 的去中心化金融收益协议 Carrot 于周四正式宣布永久关闭，成为 4 月初 Drift 协议重大安全漏洞爆发后的首个倒下的多米诺骨牌。Carrot 在 X 平台发布的官方声明中直言，Drift 漏洞对该协议造成了“灾难性”打击，直接导致其财务模型崩塌，无法维持后续运营。为应对这一危机，平台设定了 5 月 14 日作为用户提取剩余资金的最终期限，并承诺在相关资产解冻后协助完成分配工作。团队进一步解释称，将把 Boost、Turbo 和 CRT 三个项目的杠杆率强制降至零，此举旨在释放所有流动性以支持 CRT 代币的赎回，确保用户存入的本金权益不受损。

此次危机的根源可追溯至 4 月 1 日发生的 Drift 协议漏洞事件，该事件已被确认为 2026 年第二大安全漏洞。攻击者并非利用简单的技术缺陷，而是通过长达数月的社会工程学手段，成功渗透并获取了系统管理权限，进而盗取了协议中超过一半的锁定资产价值。这一精心策划的攻击不仅重创了 Drift 自身，其破坏力更迅速传导至整个生态链，波及了包括收益协议 Gauntlet、借贷平台 PrimeFi 以及加密货币基金 Elemental DeFi 在内的多个关联项目。Carrot 与 Drift 的基础设施深度集成，依赖后者的资金池为用户生成收益，因此当底层资产被掏空时，Carrot 的总锁定资产价值（TVL）随之出现断崖式下跌。

午方 AI 梳理发现，在 Drift 漏洞爆发前，Carrot 的总锁定资产价值约为 2800 万美元，而受冲击后这一数字已急剧萎缩至 199 万美元，降幅高达 93%。这种资产规模的剧烈蒸发直观地反映了去中心化金融生态中底层协议风险传导的致命性。

与此同时，4 月份整个加密行业的安全形势持续恶化，当月共有 25 起安全事件导致近 6.3 亿美元的数字资产被盗，使其成为自 2025 年 2 月（当时被盗资产达 14.7 亿美元）以来损失最为惨重的月份。

从宏观数据来看，4 月份发生在液体质押协议 Kelp 上的 2.93 亿美元盗窃案是 2026 年迄今为止规模最大的安全漏洞事件，而 Drift 漏洞造成的 2.85 亿美元损失紧随其后。这两起特大攻击事件导致的被盗资产总额，占据了 4 月份所有加密货币盗窃案总金额的 90% 以上。午方 AI 注意到，这种高度集中的损失分布表明，针对头部协议的定向攻击已成为当前市场的主要风险源，其破坏力远超以往分散的小规模黑客行为。

随着 Carrot 的关停和 Drift 漏洞的发酵，行业对于智能合约审计及社会工程学防御的关注度再次被推向高点。尽管 Carrot 团队表示将全力协助恢复工作，但 93% 的 TVL 流失意味着大量流动性已不可逆地消失。午方 AI 分析认为，此类事件将迫使更多 DeFi 协议重新审视其底层依赖关系，单一节点的失效可能引发整个生态系统的连锁反应，未来跨协议的风险隔离机制将成为项目生存的关键。