La compañía detrás de Ever Surf, una billetera para el ecosistema blockchain de Everscale, está cerrando su versión web después de que los investigadores de Check Point encontraran una vulnerabilidad. El equipo de Ever Surf confirmó que la vulnerabilidad permitía a los atacantes acceder a las billeteras.
Ever Surf es un mensajero multiplataforma, un navegador de cadena de bloques y una billetera criptográfica para la red de cadena de bloques de Everscale, disponible en Google Play y Apple iOS Store.
Actualmente tiene casi 670.000 usuarios en todo el mundo y dijo que ha facilitado al menos 31,6 millones de transacciones.
El equipo de Ever Surf publicó un blog explicando el problema el viernes, escribiendo que los investigadores de seguridad de Check Point descubrieron la vulnerabilidad y trabajaron con ellos para solucionarla.
Check Point publicó su propio informe el lunes que detalla el problema, escribiendo que la vulnerabilidad permitió a los atacantes descifrar «fácilmente» las claves privadas y las frases iniciales almacenadas en el almacenamiento local de un navegador, lo que les permitió a los atacantes tener el control total de las billeteras de una víctima.
El informe de Check Point indica que el descifrado tomó solo unos minutos y se pudo realizar utilizando hardware de nivel de consumidor.
Everscale señaló que la versión web de Ever Surf era «una solución experimental» que ayudó en las primeras etapas del desarrollo de la plataforma.
“Lamentablemente, la versión web ya no cumple con nuestras expectativas de aplicaciones rápidas y seguras. Planeamos aumentar el nivel de seguridad de Surf y lanzar una versión de escritorio en el primer trimestre. Una vez que hayamos terminado con el lanzamiento de un token SURF, desarrollaremos el intercambio de intercambio de tokens, agregaremos un nuevo proveedor de pago e integraremos tarjetas de regalo”, explicó la compañía.
“Pero cuando recibimos un correo electrónico del equipo de Check Point Research, sabíamos que no teníamos tiempo que perder. Check Point Research realizó su propia investigación independiente sobre el estado de seguridad de la versión web de Surf y encontró su vulnerabilidad. Seguimos este informe, verificamos todo y nos aseguramos de que exista la vulnerabilidad. Nuestra versión web no puede proporcionar un uso seguro de KDF basado en contraseña, ya que no es posible proporcionar una sal única como una ID de dispositivo para esta plataforma. En pocas palabras, esto significa que existe una forma teórica de obtener acceso a su billetera y los activos que contiene”.
La compañía ha dejado de admitir la versión web de navegación y ha instado a los usuarios a cambiar a la versión de escritorio.
Agregaron que no saben cuántas personas están usando la versión web, por lo que están publicando información para asegurarse de que el dinero de nadie esté en riesgo.
«No permitiremos que nadie robe sus fondos, pero es importante para nosotros que usted mismo no pierda el acceso a ellos», dijo la compañía.
Alexander Chailytko de Check Point Software agregó que Everscale es el sucesor tecnológico de la red TON desarrollada por el equipo de Telegram.
“Al mismo tiempo, Everscale aún se encuentra en una etapa temprana de desarrollo. Asumimos que podría haber debilidades en un producto tan joven. También teníamos curiosidad por saber cómo se implementa la protección de claves en la billetera más popular para esta cadena de bloques. La prueba de concepto de CPR presenta múltiples vectores de ataque que podrían resultar en que un atacante obtenga claves privadas y frases iniciales en texto sin formato, que luego se pueden usar para obtener el control completo de la billetera de la víctima», dijo Chailytko.
«A pesar de que la vulnerabilidad que encontramos se corrigió en la nueva versión de escritorio de la billetera Ever Surf, los usuarios pueden encontrar otras amenazas, como vulnerabilidades en aplicaciones descentralizadas o amenazas generales como estafas o phishing».
