Platypus Finance Zweiter & Dritter Exploit

Im Oktober 2023 erlitt der Avalanche-Stableswap Platypus Finance einen Cluster weiterer Exploits in Höhe von etwa 2,2 Millionen $ — Monate nach seinem Vorfall vom Februar 2023 über 8,5 Mio. $. Die Oktober-Exploits beinhalteten wiederum fehlerhafte Solvenz-/Withdrawal-Buchhaltung in der AMM- und Kreditlogik des Protokolls.

Was geschah

Nach dem emergencyWithdraw-Exploit von Februar 2023 betrieb Platypus weiter mit neu gestalteten Verträgen. Im Oktober 2023 wurde es erneut in zwei bis drei eng aufeinanderfolgenden Vorfällen ausgenutzt und nutzte Schwächen in den Sicherheits-/Solvenzberechnungen des Protokolls aus. Ein Teil der Mittel wurde wiederhergestellt (ein Angreifer wurde identifiziert; einige Mittel eingefroren/zurückgegeben).

Folgen

• Platypus pausierte und patchte wiederholt; Wiederherstellung war teilweise.
• Die wiederholten Vorfälle des Protokolls erodierten sein Ansehen unter den Avalanche-DeFi-Protokollen erheblich.

Warum es wichtig ist

Platypus reiht sich neben DEUS DAO, Cream Finance, Abracadabra und ALEX Lab in die Mehrfachvorfalls-Protokoll-Gruppe des Katalogs ein. Das Muster ist konsistent und mittlerweile vorhersehbar: Ein einmal ausgenutztes Protokoll, dessen Behebung den spezifischen Bug statt das systemische Defizit adressiert, wird wieder ausgenutzt — meist innerhalb eines Jahres. Die Sequenz Februar → Oktober 2023 von Platypus ist eines der engeren Beispiele. Das Urteil, das der Katalog wiederholt erreicht: Nach dem zweiten Vorfall ist anhaltendes Nutzervertrauen empirisch fehl am Platze, und der dritte Vorfall ist die Bestätigung, nicht die Überraschung.