Proxy sin inicializar en Pike Finance

A finales de abril de 2024, el protocolo de préstamos cross-chain Pike Finance fue explotado dos veces en cuestión de días por varios millones de dólares combinados (el primer incidente ~$1,9 M). La causa raíz: contratos actualizables desplegados pero dejados sin inicializar, permitiendo a un atacante llamar al inicializador, apoderarse de la propiedad y drenar activos — incluidos fondos puenteados por Chainlink CCIP — a través de Ethereum, Arbitrum y Optimism.

Qué ocurrió

Los contratos proxy de Pike se desplegaron sin que su inicializador fuera llamado atómicamente en el despliegue. Un atacante llamó a initialize ellos mismos, convirtiéndose en propietario, luego usó los privilegios de propietario para drenar los activos del protocolo. Un segundo exploit días después golpeó superficies relacionadas no inicializadas/con privilegios excesivos antes de que el equipo asegurara totalmente los despliegues.

Consecuencias

• Pike pausó, redesplegó con inicialización atómica y persiguió recuperación (limitada).
• La pérdida repetida en cuestión de días subrayó la remediación incompleta de primera respuesta.

Por qué importa

Pike Finance es otro inicializador desprotegido/no inicializado — el patrón Solidity catastrófico más repetido del catálogo: Parity (2017), DODO (2021), Punk (2021), DAO Maker (2021), Audius (2022), Pike (2024). Siete años y pico; mitigación de una línea (modificador initializer + despliegue-e-inicialización atómicos). La segunda pérdida de Pike días después de la primera también ilustra el corolario de incidente repetido del catálogo: la remediación apresurada que no aborda el déficit sistémico de higiene en despliegue invita al exploit de seguimiento.