Crypto wallet Tangem krijgt kritiek nadat app-fout de privé sleutels van gebruikers blootlegt

Tangem, een provider van cryptocurrency wallet , is in opspraak gekomen nadat een kritieke beveiligingskwetsbaarheid in de mobiele app van het bedrijf de privé sleutels van sommige gebruikers blootlegde.

Volgens Tangem was de kwetsbaarheid het gevolg van een bug in de mobiele app van Tangem. Deze logde per ongeluk de privésleutels van gebruikers in de logs van de app wanneer een gebruiker een portemonnee aanmaakte en een seed phrase genereerde.

Opmerkelijk is dat het probleem werd ontdekt door gebruikers van de Tangem-wallet op het socialemediaplatform Reddit, maar dat het pas werd aangepakt nadat een bericht van gebruiker u/areklanga op 29 december de aandacht trok.

De Redditor beweerde dat de logs niet alleen in de app werden opgeslagen, maar ook mogelijk toegankelijk waren via de e-mailgeschiedenis van de gebruiker, de interne ondersteuningssystemen van Tangem en ticket-trackingtools.

Om de controverse nog groter te maken, werd de oorspronkelijke post waarin de bug werd gemeld verwijderd en gaf het bedrijf “geen verstandige reactie”, voegde de gebruiker toe.

Wat is er gebeurd?

Tangem ging in op het probleem in een reactie op 29 december. Het bedrijf beweerde dat het probleem slechts een minimale impact had en alleen gebruikers trof die “direct een ondersteuningsverzoek via de app indienden” nadat ze een gegenereerde seedfrase hadden gebruikt.

Het proces voor het genereren van zaden van Tangem biedt gebruikers de optie om wallets te maken met of zonder een seedzin. Als een gebruiker ervoor kiest om een wallet te maken met een seedzin, genereert de Tangem-app een zin van 12 of 24 woorden op basis van de BIP39-standaard.

Deze zin wordt tijdens de installatie één keer weergegeven. Gebruikers moeten deze op schrijven en veilig bewaren, omdat deze later niet meer kan worden opgehaald.

In een vervolgbericht op 30 december meldde het bedrijf dat de bug, die werd geïntroduceerd bij het toevoegen van een NFC-logmechanisme, was opgelost in een recente update en gebruikers dringend verzocht de mobiele applicatie bij te werken.

Wat de impact van de inbreuk betreft, zei het bedrijf dat het aantal getroffen gebruikers “minder dan 0,1%” bedroeg, gebruikers die een portemonnee activeerden met behulp van een seed phrase en binnen 7 dagen na activering contact opnamen met de klantenservice.

Het bedrijf voegde toe dat het incident niet tot verlies van geld heeft geleid, omdat geen van de privé sleutels van de gebruikers is gecompromitteerd.

Als onderdeel van de maatregelen na het incident heeft Tangem contact opgenomen met de getroffen gebruikers en alle logbestanden die naar het ondersteuningsteam van het bedrijf waren gestuurd, permanent verwijderd.

Op het moment van schrijven beperkte het antwoord van Tangem zich tot Reddit en heeft het geen aankondigingen gedaan over het incident via andere socialemediakanalen.

Dit heeft tot kritiek geleid van leden van de gemeenschap, waarvan velen nog steeds sceptisch staan tegenover de maatregelen die door de walletprovider zijn genomen.

Diefstal van privésleutels blijft een probleem

Privé sleutels blijven kwetsbaar voor verschillende bedreigingen, waaronder software kwetsbaarheden, phishing aanvallen en onjuiste opslagmethoden.

Zoals eerder gemeld door Invezz, was het stelen van privésleutels de grootste aanvalsvector van 2024, goed voor ongeveer 75% van alle hacks. Alleen al in het derde kwartaal ging er meer dan $343 miljoen verloren, aldus een apart rapport.

Ook lekken van privésleutels leidden tot een aantal van de grootste verliezen van het jaar. Zo was de hack van de Indiase crypto exchange WazirX in juli het gevolg van gecompromitteerde privésleutels, wat leidde tot verliezen van meer dan $ 235 miljoen.