Kraken arregló recientemente un error que permitía a los usuarios de la plataforma conjurar dinero gratis en sus cuentas durante meses, reveló la compañía el miércoles.

En una publicación en Twitter, el director de seguridad, Nick Peroco, dijo que su equipo descubrió un «error aislado» a principios de este mes que permitía a los clientes «inflar artificialmente su saldo». El equipo solo lo descubrió después de recibir una alerta del programa de recompensas por errores de un investigador de seguridad el 9 de junio, afirmando que habían encontrado un «error extremadamente crítico» en su sistema.

«La función en cuestión se hizo presente en la plataforma en enero», dijo Alexander Cassells, líder de comunicaciones de Kraken, en un correo electrónico a Decrypt.

Según Percoco, los usuarios podían iniciar depósitos en Kraken y tener fondos acreditados en sus cuentas antes de que se completara el depósito en sí.

«Un atacante malintencionado podría imprimir activos en su cuenta de Kraken durante un período de tiempo», escribió.

Otros exchanges de criptomonedas han visto exploits similares. En 2020, un fallo de software en el exchange de criptomonedas canadiense Coinberry llevó a más de 500 usuarios a robar $3 millones de dólares en Bitcoin del exchange iniciando transferencias electrónicas instantáneas a la plataforma, permitiendo que se acreditaran sus cuentas y luego cancelando el depósito antes de que se finalizara.

Teóricamente, los usuarios podrían retirar el Bitcoin legítimo del exchange a las billeteras que controlaban. Dado que los retiros de Bitcoin en la cadena son irreversibles, tales fallas pueden conducir a pérdidas potencialmente irreparables para las empresas afectadas.

«Este no era un simple error cotidiano que cualquiera podía explotar», dijo Cassells sobre el error de Kraken, que fue arreglado a las pocas horas de su descubrimiento. «Se necesitó una buena cantidad de experiencia en casos extremos en la cadena para descubrirlo, lo que se evidencia por el hecho de que nadie descubrió este problema hasta hace poco».

Afortunadamente, nadie había explotado el error durante ese tiempo, aparte del investigador que notificó a Kraken del problema y otros dos investigadores que fueron notificados por el primero sobre el error.

Sin embargo, mientras que la persona que presentó el informe de recompensa por errores lo usó para acreditar su billetera con $4 dólares, Perroco dijo que los otros dos investigadores retiraron fraudulentamente casi $3 millones de dólares de sus cuentas de Kraken, con las pérdidas asumidas por la tesorería de Kraken.

El informe inicial de recompensas por errores no reveló las transacciones más grandes, dijo Perroco. Los investigadores también se negaron a seguir otros pasos estándar del procedimiento de recompensa por errores de Kraken, y desde entonces se han negado a devolver los fondos hasta que sepan cuánto dinero podría haber perdido Kraken sin su ayuda.

«Estamos tratando esto como un caso penal y estamos coordinando con las agencias de aplicación de la ley en consecuencia», escribió Perroco. «Estamos agradecidos de que se haya informado de este problema, pero ahí es donde termina ese pensamiento».

Kraken se enfrenta actualmente a una demanda ante la SEC alegando amplias violaciones de la ley de valores. Algunos informes también sugieren que la compañía está considerando una oferta pública inicial el próximo año.

Pagina Original:

Kraken Lost Almost $3 Million After Bug Allowed Users to Print Money