ソラナ(Solana)を基盤とする分散型金融(DeFi)イールドプロトコル「Carrot」は、木曜日、4月1日に発生したDrift Protocolの脆弱性攻撃に起因する直接的な損失を受け、サービスを終了すると発表しました。この攻撃により、Driftプラットフォームから数分の間に約2億8500万ドルが流出したとされています。 主なポイント:
ソラナ・イールド・プロトコルの「Carrot」は、Driftの脆弱性を突いた攻撃でTVLから800万ドルが流出したことを受け、サービスを停止しました。
共有
- Carrot(DeFi Carrot)は、2億8500万ドル規模のDrift Protocolのエクスプロイトを原因として、2026年4月30日にサービスを終了しました。
- ユーザーは、強制的なレバレッジ解消が始まる前に、2026年5月14日までにBoost、Turbo、およびCRTから資金を引き出す必要があります。
- Driftの回復分配金は、2026年4月1日時点のCRTスナップショットに基づき、IOUトークンを通じて比例配分されます。
Carrotはユーザーに対し、5月14日までに資金を引き出すよう指示しました。
2026年最大のDeFi攻撃であり、Solana史上2番目の規模となるDriftハッキングは、4月1日UTC20:00頃に発生しました。北朝鮮の国家支援グループとの関連が疑われる攻撃者は、斬新で持続性のあるノンス(nonce)の脆弱性を悪用し、Driftの管理制御機能を侵害しました。 Driftの総ロック済み価値(TVL)の50%以上が流出し、これを受けてプラットフォーム全体の入出金が直ちに停止されました。
CarrotはDriftと統合された金庫や流動性ポジションを通じて多大なリスクにさらされていました。攻撃直後、チームは被害状況を評価する間、ミントと償還機能を一時停止しました。 推定ではCarrotのTVLの約50%がリスクにさらされ、一部の分析では800万ドルを超える損失が指摘されています。プロトコルのCRT純資産価値は4月中旬のアップデートで実現・未実現の影響を反映し、1トークンあたり約57.52ドルから57.58ドルに調整されました。
4月下旬までにCarrotのTVLは急落し、運営は限定的な状態が続きました。チームはXやDiscordを通じて随時最新情報を発信し、将来のDriftからの回収分配に備えてユーザーの請求権を確保するため、4月1日20:00(UTC)時点のCRT保有状況のスナップショットも公開しました。
4月30日、@Deficarrotは最後のXスレッドを投稿し、この決定を確認しました。「Carrotはサービスを終了します」と最初の投稿には書かれていました。「これは確かに私たちが望んでいた結果ではありませんが、Driftのエクスプロイトによる状況は、私たちの継続的な運営にとって壊滅的なものとなりました。」
ユーザーは2026年5月14日までに、Carrotの主要3製品であるBoost、Turbo、CRTから自主的に資金を引き出すことができます。この期限を過ぎると、チームはすべてのポジションのレバレッジをゼロに引き下げ始め、事実上すべてを1倍に減らし、CRTの償還のための流動性を確保します。
BoostではユーザーがJLP、FLP、ONycなどの利付資産を担保として預け入れ、希望するレバレッジ倍率を選択すると、プロトコルが自動でループと借入を行い利回りを増幅しました。TurboはSOL、BTC、GOLDなどの資産に連動する管理型レバレッジトークンへのエクスポージャーを提供し、動的なレバレッジを自動的に維持していました。 CRTは利付ステーブルコインとして機能し、USDC、USDT、PYUSDの預入を受け付け、ロックアップ要件や管理手数料は発生しませんでした。
チームは、清算プロセスを通じて預託された資金は引き続きユーザーに帰属すると確認しました。Driftからの回収金(将来の日付で未公開のIOUトークンとして提供される見込み)は、4月1日のCRTスナップショットに基づき比例配分されます。ユーザーがCRTトークンを償還した後でも、請求権は保持されます。
5月14日までに自主的な措置を取らなかったユーザーの残るBoostおよびTurboポジションは、強制的に1倍のレバレッジへ調整されます。チームは、このプロセスによって純資産額に影響は生じないと述べています。Driftの脆弱性は、流動性や金庫、利回り戦略でDriftに依存していた相互接続された15~20のSolanaプロトコルに波及しました。Carrotは、その深い統合ゆえに最も深刻な打撃を受けたプロトコルの1つでした。
Drift Protocolハッキング事件(2026年):何が起きたのか、誰が被害に遭ったのか、そして今後の見通し
2026年4月1日、Drift Protocolは、偽の担保とソーシャルエンジニアリングを用いた北朝鮮の関与者が仕掛けた、わずか12分間のSolana DeFiハッキングにより、2億8600万ドルの損害を被りました。 read more.
今すぐ読む
Drift Protocolハッキング事件(2026年):何が起きたのか、誰が被害に遭ったのか、そして今後の見通し
2026年4月1日、Drift Protocolは、偽の担保とソーシャルエンジニアリングを用いた北朝鮮の関与者が仕掛けた、わずか12分間のSolana DeFiハッキングにより、2億8600万ドルの損害を被りました。 read more.
今すぐ読むDrift Protocolハッキング事件(2026年):何が起きたのか、誰が被害に遭ったのか、そして今後の見通し
今すぐ読む2026年4月1日、Drift Protocolは、偽の担保とソーシャルエンジニアリングを用いた北朝鮮の関与者が仕掛けた、わずか12分間のSolana DeFiハッキングにより、2億8600万ドルの損害を被りました。 read more.
Carrotプロトコルは2年以上にわたり運営され、Solana向けの「イールド・オペレーティング・システム」と称する自動化されたイールドツールを構築してきました。最後のX(旧Twitter)投稿には、その歴史が如実に反映されていました。清算期間中は管理手数料は発生しません。ユーザーは、Solanaのブロックエクスプローラーで直接ウォレットの残高と取引履歴を確認し、最終的な更新情報や復旧スケジュールの発表についてCarrotのコミュニケーションチャネルを注視するよう推奨されています。
