Il crypto wallet Tangem è al centro di polemiche dopo che un bug nell'app ha esposto le chiavi private degli utenti

Tangem, un wallet per criptovalute , è stato coinvolto in una controversia dopo che una grave vulnerabilità di sicurezza nella sua app mobile ha esposto le chiavi private di alcuni utenti.

Secondo Tangem, la vulnerabilità era dovuta a un bug nell'app mobile di Tangem, che registrava erroneamente le chiavi private degli utenti nei registri dell'applicazione quando un utente creava un portafoglio e generava una frase di seed.

Notare che il problema è stato individuato dagli utenti del portafoglio Tangem sulla piattaforma di social media Reddit, ma è stato risolto dall'azienda solo dopo che un post del 29 dicembre dell'utente u/areklanga ha attirato l'attenzione sul problema.

Il Redditor ha affermato che i registri non venivano memorizzati solo nell'app, ma erano potenzialmente accessibili anche tramite le cronologie delle e-mail degli utenti, i sistemi di supporto interni di Tangem e gli strumenti di tracciamento dei ticket.

A complicare ulteriormente la situazione, il post originale che segnalava il bug è stato cancellato e l'azienda non ha "dato alcuna risposta sensata", ha aggiunto l'utente.

Cosa è successo?

Tangem ha affrontato il problema in una risposta del 29 dicembre, affermando che l'impatto era minimo e che riguardava solo gli utenti che "avevano immediatamente inviato una richiesta di assistenza tramite l'app" dopo aver utilizzato una frase di seed generata.

Il processo di generazione dei seed di Tangem offre agli utenti la possibilità di creare portafogli con o senza frase seed. Quando un utente decide di creare un portafoglio con una frase seed, l'app Tangem genera una frase di 12 o 24 parole basata sullo standard BIP39.

Questa frase viene visualizzata una sola volta durante l'installazione e gli utenti devono scriverla e conservarla in modo sicuro, poiché non sarà più possibile recuperarla in seguito.

In un post di follow-up del 30 dicembre, l'azienda ha affermato che il bug, introdotto durante l'aggiunta di un meccanismo di registrazione NFC, è stato corretto in un recente aggiornamento e ha esortato gli utenti ad aggiornare l'applicazione mobile.

Per quanto riguarda l'impatto della violazione, l'azienda ha affermato che gli utenti interessati ammontavano a "meno dello 0,1%", ovvero utenti che avevano attivato un portafoglio utilizzando una frase di seed e contattato l'assistenza "entro 7 giorni dall'attivazione".

Ha aggiunto che l'incidente non ha comportato alcuna perdita di fondi, poiché nessuna delle chiavi private degli utenti è stata compromessa.

Come parte delle misure post-incidente, Tangem ha contattato gli utenti interessati e ha eliminato definitivamente tutti gli allegati dei registri inviati al team di supporto dell'azienda.

Al momento della stesura di questo articolo, la risposta di Tangem si è limitata a Reddit e non ha rilasciato alcuna dichiarazione sull'incidente attraverso i suoi altri canali social.

Ciò ha suscitato alcune critiche da parte dei membri della comunità, molti dei quali rimangono scettici nei confronti delle misure adottate dal fornitore del portafoglio.

Il furto delle chiavi private rimane un problema

Le chiavi private rimangono esposte a varie minacce, tra cui vulnerabilità del software, attacchi di phishing e pratiche di archiviazione non corrette.

Come riportato in precedenza da Invezz, il furto di chiavi private è stato il vettore di attacco più grande del 2024, rappresentando circa il 75% di tutti gli attacchi. Solo nel terzo trimestre sono stati persi oltre 343 milioni di dollari, secondo un rapporto separato.

Anche le perdite di chiavi private hanno causato alcune delle maggiori perdite dell'anno. Ad esempio, l'attacco hacker di luglio allun exchange di criptovalute WazirX è stato causato da chiavi private compromesse, che hanno portato a perdite per oltre 235 milioni di dollari.