Dompet kripto Tangem menghadapi tindak balas selepas pepijat apl mendedahkan kunci peribadi pengguna

Tangem, penyedia dompet mata wang kripto, telah terlibat dalam kontroversi selepas kelemahan keselamatan yang kritikal dalam aplikasi mudah alihnya mendedahkan kunci peribadi beberapa pengguna.

Menurut Tangem, kerentanan itu berpunca daripada pepijat dalam aplikasi mudah alih Tangem, yang tersilap melog kunci peribadi pengguna dalam log aplikasi apabila pengguna mencipta dompet dan menghasilkan frasa benih.

Terutamanya, isu itu dikesan oleh pengguna dompet Tangem di platform media sosial Reddit tetapi hanya ditangani oleh syarikat itu selepas siaran 29 Disember daripada pengguna u/areklanga menarik perhatian kepada isu tersebut.

The Redditor mendakwa bahawa log bukan sahaja disimpan dalam aplikasi tetapi juga berpotensi boleh diakses melalui sejarah e-mel pengguna, sistem sokongan dalaman Tangem dan alat penjejakan tiket.

Menambah kontroversi, siaran asal yang menandakan pepijat telah dipadamkan, dan syarikat itu tidak "memberikan sebarang reaksi yang wajar," tambah pengguna itu.

Apa yang berlaku?

Tangem menangani isu itu dalam respons pada 29 Disember, mendakwa isu itu mempunyai kesan minimum dan hanya memberi kesan kepada pengguna yang "segera menyerahkan permintaan sokongan melalui apl" selepas menggunakan frasa benih yang dijana.

Proses penjanaan benih Tangem menawarkan pengguna pilihan untuk membuat dompet dengan atau tanpa frasa benih. Apabila pengguna memilih untuk membuat dompet dengan frasa benih, apl Tangem menjana frasa 12 atau 24 perkataan berdasarkan piawaian BIP39.

Frasa ini dipaparkan sekali semasa persediaan, dan pengguna dikehendaki menuliskannya dan menyimpannya dengan selamat, kerana ia tidak boleh diambil kemudian.

Dalam catatan susulan pada 30 Disember, syarikat itu berkata pepijat, yang diperkenalkan semasa menambah mekanisme pembalakan NFC, telah ditampal dalam kemas kini baru-baru ini dan menggesa pengguna untuk mengemas kini aplikasi mudah alih.

Mengenai kesan pelanggaran, firma itu berkata pengguna yang terjejas berjumlah "kurang daripada 0.1%," pengguna yang mengaktifkan dompet menggunakan frasa benih dan menghubungi sokongan "dalam masa 7 hari pengaktifan."

Ia menambah bahawa kejadian itu tidak membawa kepada kehilangan dana kerana tiada kunci peribadi pengguna terjejas.

Sebagai sebahagian daripada langkah selepas kejadiannya, Tangem telah menghubungi pengguna yang terjejas dan memadamkan secara kekal semua lampiran log yang dihantar kepada pasukan sokongan syarikat.

Sehingga berita ini ditulis, respons Tangem telah terhad kepada Reddit, dan ia tidak membuat sebarang pengumuman mengenai insiden itu di seluruh saluran media sosialnya yang lain.

Ini telah membawa kepada beberapa kritikan daripada ahli komuniti, yang kebanyakannya masih ragu-ragu dengan langkah yang diambil oleh penyedia dompet.

Kecurian kunci persendirian masih menjadi kebimbangan

Kunci persendirian kekal berisiko daripada pelbagai ancaman, termasuk kelemahan perisian, serangan pancingan data dan amalan storan yang tidak betul.

Seperti yang dilaporkan oleh Invezz sebelum ini, kecurian kunci persendirian adalah vektor serangan terbesar untuk 2024, menyumbang kira-kira 75% daripada semua penggodaman. Pada suku ketiga sahaja, lebih $343 juta telah hilang, menurut laporan berasingan.

Kebocoran kunci persendirian membawa kepada beberapa kerugian terbesar untuk tahun ini juga. Sebagai contoh, penggodaman Julai pertukaran kripto India WazirX berpunca daripada kunci persendirian yang dikompromi, yang membawa kepada kerugian lebih $235 juta.