Segundo y tercer exploits en Platypus Finance

En octubre de 2023, el stableswap de Avalanche Platypus Finance sufrió un grupo de exploits adicionales que totalizaron aproximadamente $2,2 millones — meses después de su incidente de $8,5 M de febrero de 2023. Los exploits de octubre involucraron de nuevo una contabilidad defectuosa de solvencia/retirada en la lógica de AMM y préstamos del protocolo.

Qué ocurrió

Tras el exploit de emergencyWithdraw de febrero de 2023, Platypus continuó operando con contratos rediseñados. En octubre de 2023 fue explotado de nuevo en dos o tres incidentes muy seguidos, explotando debilidades en los cálculos de colateral/solvencia del protocolo. Una porción de fondos fue recuperada (un atacante fue identificado; algunos fondos congelados/devueltos).

Consecuencias

• Platypus pausó y parcheó repetidamente; la recuperación fue parcial.
• Los incidentes repetidos del protocolo erosionaron severamente su posición entre los protocolos DeFi de Avalanche.

Por qué importa

Platypus se une a DEUS DAO, Cream Finance, Abracadabra y ALEX Lab en el grupo de protocolos multi-incidente del catálogo. El patrón es consistente y, a estas alturas, predecible: un protocolo explotado una vez, cuya remediación aborda el bug específico en lugar del déficit sistémico, es explotado de nuevo — normalmente en menos de un año. La secuencia febrero → octubre 2023 de Platypus es uno de los ejemplos más ajustados. El veredicto al que llega repetidamente el catálogo: tras el segundo incidente, la continuada confianza del usuario está empíricamente fuera de lugar, y el tercer incidente es la confirmación en lugar de la sorpresa.