Crypto wallet Tangem gerät nach App-Fehler unter Beschuss, der private Schlüssel der Nutzer preisgibt

Tangem, ein Anbieter von Cryptocurrency wallet , geriet in die Kritik, nachdem eine schwerwiegende Sicherheitslücke in seiner mobilen App die privaten Schlüssel einiger Benutzer preisgab.

Laut Tangem stammte die Schwachstelle von einem Fehler in der mobilen Tangem-App, der die privaten Schlüssel der Benutzer versehentlich in den Protokollen der Anwendung protokollierte, wenn ein Benutzer eine Brieftasche erstellte und eine Seed-Phrase generierte.

Insbesondere wurde das Problem von Tangem-Wallet-Benutzern auf der Social-Media-Plattform Reddit entdeckt, aber das Unternehmen reagierte erst, nachdem ein Beitrag des Benutzers u/areklanga vom 29. Dezember auf das Problem aufmerksam machte.

Der Redditor behauptete, dass die Protokolle nicht nur in der App gespeichert, sondern auch über die E-Mail-Verläufe der Benutzer, die internen Support-Systeme von Tangem und Ticket-Tracking-Tools zugänglich seien.

Zu der Kontroverse trug auch bei, dass der ursprüngliche Beitrag, in dem der Fehler gemeldet wurde, gelöscht wurde und das Unternehmen „keine vernünftige Reaktion“ zeigte, fügte der Benutzer hinzu.

Was ist passiert?

Tangem ging in einer Antwort vom 29. Dezember auf das Problem ein und behauptete, es habe nur minimale Auswirkungen und betreffe nur Benutzer, die „unmittelbar nach der Verwendung einer generierten Seed-Phrase eine Supportanfrage über die App gestellt“ hätten.

Der Seed-Generierungsprozess von Tangem bietet Benutzern die Möglichkeit, Wallets mit oder ohne Seed-Phrase zu erstellen. Wenn sich ein Benutzer für die Erstellung eines Wallets mit Seed-Phrase entscheidet, generiert die Tangem-App eine 12- oder 24-Wort-Phrase basierend auf dem BIP39-Standard.

Dieser Satz wird während der Einrichtung einmal angezeigt und die Benutzer müssen ihn aufschreiben und sicher aufbewahren, da er später nicht mehr abgerufen werden kann.

In einem weiteren Beitrag vom 30. Dezember teilte das Unternehmen mit, dass der Fehler, der bei der Hinzufügung eines NFC-Protokollmechanismus aufgetreten war, in einem aktuellen Update behoben wurde, und forderte die Benutzer auf, die mobile Anwendung zu aktualisieren.

Bezüglich der Auswirkungen des Verstoßes erklärte das Unternehmen, dass die betroffenen Benutzer „weniger als 0,1 %“ ausmachten, also Benutzer, die eine Wallet mit einer Seed Phrase aktiviert und innerhalb von sieben Tagen nach der Aktivierung den Support kontaktiert hatten.

Weiter hieß es, dass der Vorfall zu keinem Verlust von Geldern geführt habe, da keiner der privaten Schlüssel der Benutzer kompromittiert worden sei.

Im Rahmen seiner Maßnahmen nach dem Vorfall hat sich Tangem an die betroffenen Benutzer gewandt und alle an das Support-Team des Unternehmens gesendeten Protokollanhänge dauerhaft gelöscht.

Zum Zeitpunkt des Schreibens dieser Zeilen beschränkte sich Tangems Reaktion auf Reddit, und über seine anderen Social-Media-Kanäle gab es keine Ankündigungen zu dem Vorfall.

Dies hat zu einigen Kritikern aus der Community geführt, von denen viele die von dem Wallet-Anbieter ergriffenen Maßnahmen weiterhin skeptisch sehen.

Der Diebstahl privater Schlüssel bleibt ein Problem

Private Schlüssel bleiben verschiedenen Bedrohungen ausgesetzt, darunter Software-Schwachstellen, Phishing-Angriffe und unsachgemäße Aufbewahrungspraktiken.

Wie Invezz bereits berichtete, war der Diebstahl privater Schlüssel der größte Angriffsvektor des Jahres 2024 und machte etwa 75 % aller Hacks aus. Allein im dritten Quartal gingen laut einem separaten Bericht über 343 Millionen Dollar verloren.

Auch private Schlüssellecks führten zu einigen der größten Verluste des Jahres. So stammte der Hack der indischen Crypto exchange WazirX im Juli von kompromittierten privaten Schlüsseln, der zu Verlusten von über 235 Millionen US-Dollar führte.