우리는 이 편지가 청문회에 늦지 않게 도착하기를 바랍니다. 귀하의 자산의 안전이 우리의 최우선 과제였고 지금도 그렇습니다. 예를 들어, 우리는 항상 사용자에게 에버 서프의 모바일 버전을 설치해야 한다고 주장했습니다. 이 앱은 최고 보안 표준을 충족하고 신뢰성에 대해 확신하고 있습니다.
web.ever.surf에서 호스팅된 서프 웹 버전은 실험적인 솔루션이었습니다. 그리고 그것은 초기 단계에서 정말 도움이 되었습니다. 디봇 개발자들은 모바일 버전보다 그것을 사용하는 것을 선호했고 새로운 사용자들은 서프로 쉽게 시작할 수 있었다. 불행하게도, 이제 웹 버전은 더 이상 빠르고 안전한 응용 프로그램에 대한 우리의 견해에 부합하지 않게 되었습니다.
우리는 서프의 보안 수준을 높이고 1분기에 데스크톱 버전을 출시할 계획이었습니다. 서프 토큰 출시를 완료하는 즉시 토큰 스왑 교환을 개발하고 새로운 결제 제공업자를 추가하고 기프트 카드를 통합합니다. 하지만 체크 포인트 리서치 팀으로부터 이메일을 받았을 때, 우리는 지체할 시간이 없다는 것을 알았습니다.
체크 포인트 리서치는 서프 웹 버전의 보안 상태에 대해 독자적인 연구를 진행했고 그 약점을 발견했습니다. 우리는 이 보고서를 추적하여 모든 것을 확인하고 취약성이 존재하는지 확인했습니다. 웹 버전은 해당 플랫폼에 대한 장치 ID와 같은 고유한 솔트를 제공할 수 없기 때문에 암호 기반 KDF를 안전하게 사용할 수 없습니다. 간단히 말해서, 그것은 지갑과 지갑에 있는 자산에 접근할 수 있는 이론적 방법이 있다는 것을 의미합니다.
따라서 사용자를 위험에 빠뜨리지 않도록 신속하게 제거할 필요가 있었습니다. 우리가 서프 데스크톱 앱의 출시를 더 이상 미룰 수 없다는 것이 분명해졌습니다. 우리의 기본 아이디어는 기존의 웹 애플리케이션을 전자 패키지로 포장하고 그것의 해시를 키 파생에 대한 소금으로 사용하기 위해 내부에 고유한 기계 ID를 전달하는 것이었습니다.
따라서 익숙한 인터페이스와 당신이 익숙한 모든 것을 웹 버전에 저장할 수 있습니다. 본사는 귀하의 사용자 경험을 망치고 싶지 않으며 그러므로 강력한 암호를 외우는 대신 짧은 암호로 여전히 앱을 잠금 해제할 수 있도록 하였습니다. 장기적으로 데스크톱 버전은 웹 버전과 비교하여 옵션을 제공합니다.
4월 말경 체크 포인트 리서치가 보고서를 공개하면 누구나 취약점을 이용해 자금을 조달할 수 있습니다. 그래서 우리는 서프 웹 버전에 대한 지원을 끝내기로 결정했습니다.
웹 버전을 사용할 수 없게 되므로 그 전에 데스크톱 애플리케이션을 다운로드하여 설치하도록 요청합니다. 설치 후 시드키를 사용하여 자산에 대한 액세스를 복원해야 합니다. 이전에 시드키를 저장하지 않았다면 이 지침에 따라 가능한 한 빨리 저장하십시오.
데이터를 수집하지 않기 때문에 현재 몇 명이 웹 버전을 사용하고 있는지 알 수 없습니다. 우리는 가능한 한 많은 정보를 그들에게 알려서 누구의 자산도 위험에 처하지 않도록 하는 것이 중요합니다. 우리는 아무도 당신의 자금을 훔치는 것을 허용하지 않을 것이지만, 당신이 직접 그것에 접근하지 않는 것이 우리에게 중요합니다.
체크 포인트 리서치 팀의 매우 전문적이고 명확하며 건설적인 보고서에 다시 한번 감사드립니다.