Solanaエコシステムにおける主要なイールドプロトコルの一つであったCarrotが、その歴史に幕を閉じることとなりました。

2026年4月初頭に発生したDrift Protocolにおける2億8500万ドルの巨額不正流出事件は、単なる一プラットフォームの被害に留まらず、エコシステム全体に深刻な連鎖反応(コンタギオン)を引き起こしています。

Carrotはこの連鎖被害による「最初の犠牲者」として、財務的に継続不可能な状況に追い込まれました。

目次 [ close ]
  1. Carrotの崩壊:TVL 93%消失の衝撃
    1. 資産回収に向けたタイムラインとユーザーへの対応
  2. Drift Protocol事件の真相と巧妙な攻撃手法
    1. 数ヶ月に及ぶソーシャルエンジニアリング
  3. 広がる連鎖被害(コンタギオン)の影響
  4. 2026年、DeFiセキュリティの転換点
    1. 2026年の主要なハッキング事件比較
  5. まとめ

Carrotの崩壊:TVL 93%消失の衝撃

Carrotの運営チームは、公式X(旧Twitter)を通じて、システムの恒久的な閉鎖を発表しました。

同プロトコルはSolana上でレバレッジを効かせたイールドファーミングを提供していましたが、その運用の基盤をDrift Protocolの流動性プールに依存していたことが、致命的な結果を招きました。

わずか1ヶ月の間で、Carrotの預かり資産総額(TVL)は2,800万ドルから199万ドルへと急落しました。この93%という壊滅的な資産減少は、プロトコルが自立して運営を維持するための経済的基盤を完全に破壊しました。

資産回収に向けたタイムラインとユーザーへの対応

Carrotチームは、残されたユーザー資産を保護するために以下のスケジュールを提示しています。

  • 出金期限:2026年5月14日
  • 対象プール:Boost、Turbo、および CRT(Carrotの独自トークン)関連
  • 措置:システムのデレバレッジ(負債の解消)の開始

チームは、ユーザーに対して「預け入れられている資産は依然としてユーザーのものである」と強調していますが、流動性を確保するためにすべてのレバレッジポジションをゼロに削減するという苦渋の決断を下しました。

これにより、全ての流動性がCRTの償還プロセスに割り当てられることになります。

Drift Protocol事件の真相と巧妙な攻撃手法

Carrotを崩壊に導いた直接の原因であるDrift Protocolのハッキングは、2026年において2番目に大規模なDeFi(分散型金融)エクスプロイトとして記録されています。

この攻撃は、単純なプログラムの脆弱性を突いたものではなく、極めて高度かつ組織的な手法が用いられました。

数ヶ月に及ぶソーシャルエンジニアリング

予備調査によると、ハッカーグループは数ヶ月前からDriftのコア開発者や運営メンバーに対して、巧妙なソーシャルエンジニアリング攻撃を仕掛けていたことが判明しています。

  1. 信頼構築:偽のアイデンティティを用いて、コミュニティや開発プロセスに深く潜入。
  2. 管理者権限の奪取:最終的に管理パネル(Admin Control)へのアクセス権を掌握。
  3. 資産の流出:権限を悪用し、プロトコルのTVLの半分以上を一気に引き出す。

この事件は、スマートコントラクトの監査がいかに完璧であっても、「人的要因」という中央集権的な脆弱性がDeFiの致命傷になり得ることを改めて浮き彫りにしました。

広がる連鎖被害(コンタギオン)の影響

DeFiの特性である「コンポーザビリティ(構成可能性)」は、効率的な資金運用を可能にする一方で、一つの歯車が狂うとシステム全体が崩壊するリスクを孕んでいます。

今回のCarrotの閉鎖は、氷山の一角に過ぎません。

プロジェクト名影響の内容現在の状況
Gauntletイールド戦略の破綻運用モデルの再設計中
PrimeFi貸付資産の流動性危機一部引き出し制限の実施
Elemental DeFi投資ファンドの純資産価値低下清算プロセスの検討

CarrotはDriftのインフラを直接統合し、そのプールを利用してユーザーに利回りを提供していました。

このように他のプロトコルを基盤として積み上げられた「DeFiの塔」において、最下層のDriftが崩れたことで、その上に位置するCarrotが真っ先に倒壊したのは必然の結果と言えます。

2026年、DeFiセキュリティの転換点

2026年4月は、仮想通貨業界にとって暗黒の1ヶ月となりました。

25件以上のインシデントにより、合計約6億3000万ドルものデジタル資産が失われています。これは、14億7000万ドルが盗まれた2025年2月以来の最悪の数字です。

2026年の主要なハッキング事件比較

今年発生した最大の被害は、リキッドステーキングプロトコルであるKelpの2億9300万ドルです。

Driftの2億8500万ドルはこれに次ぐ規模であり、4月の盗難総額の90%以上が、わずかこれら2つのプロジェクトに集中しています。

このような状況下で、多くの投資家はプロトコルの「利回り(Yield)」よりも、その基盤となっているインフラの「堅牢性」や「運営体制の透明性」をより厳格に評価するようになっています。

特にAIを活用した脆弱性検知や、管理者権限を分散化するガバナンスモデルへの移行が急務となっています。

まとめ

Solanaの人気プロトコルであったCarrotの閉鎖は、DeFiの相互依存性がもたらす「負の連鎖」の恐ろしさを象徴する出来事となりました。

Drift Protocolという巨大なインフラの崩壊は、Carrotという一つの芽を摘み取っただけでなく、エコシステム全体に対して深い不信感と警鐘を鳴らしています。

ユーザーは5月14日の期限までに出金を完了させる必要がありますが、今回の教訓はそれ以上に重いものです。

「高利回りの裏には、必ず複雑な依存関係とリスクが隠れている」という原則を、投資家は再認識せざるを得ません。

2026年のDeFi市場は、これら巨額ハッキングの傷跡を癒やしながら、より強固で、かつ「人間による脆弱性」を排除した真の分散化へ向けた進化が求められています。