crypto wallet Tangem møter tilbakeslag etter at app-feil avslører brukernes private nøkler

Tangem, en leverandør av kryptovaluta lommebok , har vært involvert i kontroverser etter at en kritisk sikkerhetssårbarhet i mobilappen deres avslørte enkelte brukeres private nøkler.

Ifølge Tangem stammet sårbarheten fra en feil i Tangems mobilapp, som ved en feil logget brukernes private nøkler i programmets logger når en bruker opprettet en lommebok og genererte en frøfrase.

Spesielt ble problemet oppdaget av Tangem-lommebokbrukere på den sosiale medieplattformen Reddit, men ble først adressert av selskapet etter at et innlegg 29. desember fra brukeren u/areklanga trakk oppmerksomhet til problemet.

Redditor hevdet at logger ikke bare ble lagret i appen, men også potensielt tilgjengelig via brukere-e-posthistorikk, Tangems interne støttesystemer og billettsporingsverktøy.

For å legge til kontroversen ble det originale innlegget som flagget feilen slettet, og selskapet "ga ikke noen fornuftig reaksjon," la brukeren til.

Hva skjedde?

Tangem tok opp problemet i et svar 29. desember, og hevdet at problemet hadde minimal innvirkning og bare påvirket brukere som "umiddelbart sendte inn en støtteforespørsel gjennom appen" etter å ha brukt en generert frøfrase.

Tangems frøgenereringsprosess gir brukerne muligheten til å lage lommebøker med eller uten frøfrase. Når en bruker velger å lage en lommebok med en frøsetning, genererer Tangem-appen en setning på 12 eller 24 ord basert på BIP39-standarden.

Denne setningen vises én gang under oppsett, og brukere må skrive den ned og lagre den på en sikker måte, siden den ikke kan hentes senere.

I et oppfølgingsinnlegg 30. desember sa selskapet at feilen, som ble introdusert mens den la til en NFC-loggingsmekanisme, ble lappet i en nylig oppdatering og oppfordret brukere til å oppdatere mobilapplikasjonen.

Når det gjelder virkningen av bruddet, sa firmaet at de berørte brukerne utgjorde «færre enn 0,1 %», brukere som aktiverte en lommebok ved å bruke en frøfrase og kontaktet support «innen 7 dager etter aktivering».

Den la til at hendelsen ikke førte til tap av midler siden ingen av brukerens private nøkler ble kompromittert.

Som en del av tiltakene etter hendelsen, har Tangem nådd ut til berørte brukere og permanent slettet alle loggvedlegg sendt til selskapets supportteam.

I skrivende stund har Tangems svar vært begrenset til Reddit, og det har ikke gitt noen kunngjøringer angående hendelsen på tvers av sine andre sosiale mediekanaler.

Dette har ført til en del kritikk fra fellesskapsmedlemmer, hvorav mange fortsatt er skeptiske til tiltakene som er tatt av lommebokleverandøren.

Tyveri av privat nøkkel er fortsatt en bekymring

Private nøkler er fortsatt utsatt for ulike trusler, inkludert programvaresårbarheter, phishing-angrep og feilaktig lagringspraksis.

Som tidligere rapportert av Invezz, var privat nøkkeltyveri den største angrepsvektoren for 2024, og sto for omtrent 75 % av alle hacks. Bare i tredje kvartal gikk over 343 millioner dollar tapt, ifølge en egen rapport.

Private nøkkellekkasjer førte til noen av de største tapene for året også. For eksempel stammet juli-hakket av den indiske kryptobørs WazirX fra kompromitterte private nøkler, noe som førte til over 235 millioner dollar i tap.