Proxy non initialisé de Pike Finance

Fin avril 2024, le protocole de prêt cross-chain Pike Finance a été exploité deux fois en quelques jours pour un total combiné de plusieurs millions de dollars (premier incident ~1,9 M$). La cause racine : des contrats modifiables déployés mais laissés non initialisés, permettant à un attaquant d'appeler l'initialiseur, prendre la propriété, et drainer les actifs — y compris les fonds pontés via Chainlink CCIP — sur Ethereum, Arbitrum et Optimism.

Ce qui s'est passé

Les contrats proxy de Pike ont été déployés sans que leur initialiseur ne soit appelé de manière atomique au déploiement. Un attaquant a appelé initialize lui-même, devenant propriétaire, puis a utilisé les privilèges de propriétaire pour drainer les actifs du protocole. Un deuxième exploit quelques jours plus tard a frappé des surfaces non initialisées/sur-privilégiées connexes avant que l'équipe n'ait totalement sécurisé les déploiements.

Conséquences

• Pike a mis en pause, redéployé avec une initialisation atomique, et poursuivi la récupération (limitée).
• La perte répétée en quelques jours a souligné la remédiation incomplète de la première réponse.

Pourquoi c'est important

Pike Finance est encore un initialiseur non protégé/non initialisé — le schéma Solidity catastrophique le plus répété du catalogue : Parity (2017), DODO (2021), Punk (2021), DAO Maker (2021), Audius (2022), Pike (2024). Sept ans et plus ; atténuation d'une ligne (modificateur initializer + déploiement-et-initialisation atomique). La deuxième perte de Pike quelques jours après la première illustre également le corollaire multi-incident du catalogue : une remédiation précipitée qui ne s'attaque pas au déficit systémique d'hygiène de déploiement invite l'exploit de suivi.