Crypto wallet Tangem står over for tilbageslag, efter app-fejl afslører brugernes private nøgler

Tangem, en udbyder af kryptovaluta wallet , er blevet involveret i kontroverser, efter at en kritisk sikkerhedssårbarhed i sin mobilapp afslørede nogle brugeres private nøgler.

Ifølge Tangem stammede sårbarheden fra en fejl i Tangems mobilapp, som fejlagtigt loggede brugernes private nøgler i applikationens logfiler, da en bruger oprettede en tegnebog og genererede en frøsætning.

Især blev problemet opdaget af Tangem wallet-brugere på den sociale medieplatform Reddit, men det blev først behandlet af virksomheden, efter at et indlæg den 29. december fra brugeren u/areklanga gjorde opmærksom på problemet.

Redditor hævdede, at logfiler ikke kun blev gemt i appen, men også potentielt tilgængelige via bruger-e-mail-historier, Tangems interne supportsystemer og billetsporingsværktøjer.

For at tilføje til kontroversen blev det originale indlæg, der markerede fejlen, slettet, og virksomheden "gav ikke nogen fornuftig reaktion," tilføjede brugeren.

Hvad skete der?

Tangem adresserede problemet i et svar den 29. december og hævdede, at problemet havde minimal indvirkning og kun påvirkede brugere, der "straks indsendte en supportanmodning gennem appen" efter at have brugt en genereret frøsætning.

Tangems frøgenereringsproces giver brugerne mulighed for at oprette tegnebøger med eller uden en frøsætning. Når en bruger vælger at oprette en tegnebog med en frøsætning, genererer Tangem-appen en sætning på 12 eller 24 ord baseret på BIP39-standarden.

Denne sætning vises én gang under opsætningen, og brugerne skal skrive den ned og opbevare den sikkert, da den ikke kan hentes senere.

I et opfølgende indlæg den 30. december sagde virksomheden, at fejlen, som blev introduceret under tilføjelse af en NFC-logningsmekanisme, blev rettet i en nylig opdatering og opfordrede brugerne til at opdatere mobilapplikationen.

Med hensyn til virkningen af ​​bruddet sagde firmaet, at de berørte brugere udgjorde "færre end 0,1 %", brugere, der aktiverede en tegnebog ved hjælp af en frøsætning og kontaktede support "inden for 7 dage efter aktivering."

Den tilføjede, at hændelsen ikke førte til noget tab af midler, da ingen af ​​brugerens private nøgler blev kompromitteret.

Som en del af sine foranstaltninger efter hændelsen har Tangem nået ud til berørte brugere og permanent slettet alle logvedhæftede filer, der er sendt til virksomhedens supportteam.

I skrivende stund har Tangems svar været begrænset til Reddit, og det har ikke givet nogen meddelelser om hændelsen på tværs af sine andre sociale mediekanaler.

Dette har ført til en del kritik fra fællesskabsmedlemmer, hvoraf mange fortsat er skeptiske over for de foranstaltninger, tegnebogsudbyderen har truffet.

Privat nøgletyveri er fortsat et problem

Private nøgler er fortsat udsat for forskellige trusler, herunder softwaresårbarheder, phishing-angreb og ukorrekt opbevaringspraksis.

Som tidligere rapporteret af Invezz, var tyveri af private nøgler den største angrebsvektor i 2024, der tegnede sig for omkring 75 % af alle hacks. Alene i tredje kvartal gik over 343 millioner dollars tabt, ifølge en separat rapport.

Private nøglelækage førte også til nogle af årets største tab. For eksempel stammede juli-hacket af den indiske kryptobørs WazirX fra kompromitterede private nøgler, hvilket førte til over $235 millioner i tab.