Deuxième et troisième exploits de Platypus Finance

En octobre 2023, le stableswap Avalanche Platypus Finance a subi un groupe d'autres exploits totalisant environ 2,2 millions de dollars — survenant des mois après son incident de février 2023 à 8,5 M$. Les exploits d'octobre impliquaient à nouveau une comptabilité de solvabilité / retrait défaillante dans l'AMM et la logique de prêt du protocole.

Ce qui s'est passé

Suite à l'exploit emergencyWithdraw de février 2023, Platypus a continué à fonctionner avec des contrats redessinés. En octobre 2023, il a été exploité à nouveau dans deux à trois incidents très rapprochés, exploitant des faiblesses dans les calculs de garantie/solvabilité du protocole. Une partie des fonds a été récupérée (un attaquant a été identifié ; certains fonds ont été gelés/restitués).

Conséquences

• Platypus a mis en pause et corrigé à plusieurs reprises ; la récupération a été partielle.
• Les incidents répétés du protocole ont gravement érodé sa position parmi les protocoles DeFi Avalanche.

Pourquoi c'est important

Platypus rejoint DEUS DAO, Cream Finance, Abracadabra, et ALEX Lab dans le groupe protocole multi-incident du catalogue. Le schéma est cohérent et, à présent, prévisible : un protocole exploité une fois, dont la remédiation s'attaque au bug spécifique plutôt qu'au déficit systémique, est exploité à nouveau — généralement dans l'année. La séquence février → octobre 2023 de Platypus en est l'un des exemples les plus serrés. Le verdict que le catalogue atteint à plusieurs reprises : après le deuxième incident, la confiance continue des utilisateurs est empiriquement mal placée, et le troisième incident est la confirmation plutôt que la surprise.