La crypto wallet Tangem enfrenta una reacción negativa después de que un error en la aplicación exponga las claves privadas de los usuarios

Tangem, un proveedor de wallet de criptomonedas , se ha visto envuelto en una controversia después de que una crítica vulnerabilidad de seguridad en su aplicación móvil expusiera las claves privadas de algunos usuarios.

Según Tangem, la vulnerabilidad se debió a un error en la aplicación móvil de Tangem, que registró por error las claves privadas de los usuarios en los registros de la aplicación cuando un usuario creó una billetera y generó una frase semilla.

Cabe destacar que el problema fue detectado por los usuarios de la billetera Tangem en la plataforma de redes sociales Reddit, pero la empresa solo lo abordó después de que una publicación del 29 de diciembre del usuario u/areklanga llamara la atención sobre el problema.

El Redditor afirmó que los registros no solo se almacenaban en la aplicación, sino que también eran potencialmente accesibles a través de los historiales de correo electrónico de los usuarios, los sistemas de soporte internos de Tangem y las herramientas de seguimiento de tickets.

Para aumentar la controversia, la publicación original que señalaba el error fue eliminada y la empresa no "proporcionó ninguna reacción sensata", agregó el usuario.

¿Qué pasó?

Tangem abordó el problema en una respuesta del 29 de diciembre, afirmando que el problema tenía un impacto mínimo y solo afectaba a los usuarios que "inmediatamente enviaron una solicitud de soporte a través de la aplicación" después de usar una frase semilla generada.

El proceso de generación de semillas de Tangem ofrece a los usuarios la opción de crear carteras con o sin una frase semilla. Cuando un usuario opta por crear una billetera con una frase semilla, la aplicación Tangem genera una frase de 12 o 24 palabras basada en el estándar BIP39.

Esta frase se muestra una vez durante la configuración y los usuarios deben escribirla y almacenarla de forma segura, ya que no se puede recuperar más tarde.

En una publicación de seguimiento del 30 de diciembre, la compañía dijo que el error, que se introdujo al agregar un mecanismo de registro NFC, se solucionó en una actualización reciente e instó a los usuarios a actualizar la aplicación móvil.

Respecto al impacto de la brecha, la firma dijo que los usuarios afectados fueron "menos del 0,1%", usuarios que activaron una billetera usando una frase semilla y se contactaron con el soporte "dentro de los 7 días de la activación".

Agregó que el incidente no provocó ninguna pérdida de fondos ya que ninguna de las claves privadas del usuario se vio comprometida.

Como parte de sus medidas posteriores al incidente, Tangem se ha comunicado con los usuarios afectados y ha eliminado permanentemente todos los archivos adjuntos de registro enviados al equipo de soporte de la empresa.

Al momento de escribir este artículo, la respuesta de Tangem se ha limitado a Reddit y no ha hecho ningún anuncio sobre el incidente a través de sus otros canales de redes sociales.

Esto ha generado algunas críticas de parte de los miembros de la comunidad, muchos de los cuales siguen siendo escépticos sobre las medidas tomadas por el proveedor de billeteras.

El robo de claves privadas sigue siendo una preocupación

Las claves privadas siguen expuestas a diversas amenazas, incluidas vulnerabilidades de software, ataques de phishing y prácticas de almacenamiento inadecuadas.

Como informó anteriormente Invezz, el robo de claves privadas fue el mayor vector de ataque de 2024, representando aproximadamente el 75% de todos los ataques. Solo en el tercer trimestre se perdieron más de $343 millones, según un informe separado.

Las filtraciones de claves privadas también provocaron algunas de las mayores pérdidas del año. Por ejemplo, el hackeo de julio del exchange de criptomonedas indio WazirX se debió a claves privadas comprometidas, lo que provocó pérdidas por más de $235 millones.