Pike Finance nicht initialisierter Proxy

Ende April 2024 wurde das Cross-Chain-Kreditprotokoll Pike Finance zweimal innerhalb weniger Tage um zusammen mehrere Millionen Dollar ausgenutzt (der erste Vorfall ~1,9 Mio. $). Die Grundursache: aktualisierbare Verträge wurden deployt, aber nicht initialisiert gelassen, was einem Angreifer erlaubte, den Initializer aufzurufen, Ownership zu übernehmen und Vermögenswerte abzuziehen — einschließlich Chainlink-CCIP-Bridge-Mittel — über Ethereum, Arbitrum und Optimism.

Was geschah

Pikes Proxy-Verträge wurden deployt, ohne dass ihr Initializer atomar beim Deployment aufgerufen wurde. Ein Angreifer rief initialize selbst auf, wurde Owner und nutzte dann Owner-Privilegien, um Protokoll-Vermögenswerte abzuziehen. Ein zweiter Exploit Tage später traf verwandte nicht initialisierte/überprivilegierte Oberflächen, bevor das Team die Deployments vollständig sicherte.

Folgen

• Pike pausierte, deployte neu mit atomarer Initialisierung und verfolgte (begrenzte) Wiederherstellung.
• Wiederholter Verlust innerhalb von Tagen unterstrich unvollständige Erst-Reaktions-Behebung.

Warum es wichtig ist

Pike Finance ist ein weiterer ungeschützter/nicht initialisierter Initializer — das meist wiederholte katastrophale Solidity-Muster im Katalog: Parity (2017), DODO (2021), Punk (2021), DAO Maker (2021), Audius (2022), Pike (2024). Sieben-plus Jahre; einzeilige Minderung (initializer-Modifier + atomares Deploy-und-Initialize). Pikes zweiter Verlust Tage nach dem ersten illustriert auch das Wiederholungs-Vorfalls-Korollar des Katalogs: Übereilte Behebung, die das systemische Deployment-Hygiene-Defizit nicht adressiert, lädt den Folge-Exploit ein.