Crypto wallet Tangem spotyka się z krytyką po tym, jak błąd w aplikacji ujawnił prywatne klucze użytkowników

Tangem, dostawca portfel do kryptowalut , znalazł się w centrum kontrowersji po tym, jak krytyczna luka w zabezpieczeniach jego aplikacji mobilnej ujawniła prywatne klucze niektórych użytkowników.

Według Tangem luka wynikała z błędu w aplikacji mobilnej Tangem, która błędnie zapisywała prywatne klucze użytkowników w dzienniku aplikacji podczas tworzenia portfela i generowania frazy nasion.

Warto zauważyć, że problem został wykryty przez użytkowników portfela Tangem na platformie społecznościowej Reddit, ale firma zajęła się nim dopiero po tym, jak 29 grudnia użytkownik u/areklanga zwrócił na niego uwagę.

Użytkownik Reddita twierdził, że dzienniki nie były przechowywane tylko w aplikacji, ale mogły być również dostępne za pośrednictwem historii wiadomości e-mail użytkowników, wewnętrznych systemów wsparcia Tangem i narzędzi do śledzenia zgłoszeń.

Do kontrowersji doszło również z powodu usunięcia oryginalnego posta, w którym zgłoszono błąd, a firma „nie udzieliła żadnej sensownej odpowiedzi” – dodał użytkownik.

Co się stało?

Tangem odniósł się do problemu w odpowiedzi z 29 grudnia, twierdząc, że problem miał minimalny wpływ i dotyczył tylko użytkowników, którzy „natychmiast przesłali zgłoszenie wsparcia za pośrednictwem aplikacji” po użyciu wygenerowanej frazy seed.

Proces generowania nasion Tangem daje użytkownikom możliwość tworzenia portfeli z lub bez frazy nasiennej. Gdy użytkownik zdecyduje się na utworzenie portfela z frazą nasienną, aplikacja Tangem generuje 12- lub 24-słowną frazę na podstawie standardu BIP39.

To zdanie jest wyświetlane tylko raz podczas konfiguracji, a użytkownicy muszą je zapisać i przechowywać w bezpiecznym miejscu, ponieważ nie będzie można go odzyskać później.

W kolejnym poście opublikowanym 30 grudnia firma poinformowała, że błąd, który pojawił się podczas dodawania mechanizmu rejestrowania NFC, został naprawiony w niedawnej aktualizacji i wezwała użytkowników do zaktualizowania aplikacji mobilnej.

Jeśli chodzi o wpływ naruszenia, firma podała, że liczba dotkniętych użytkowników wyniosła „mniej niż 0,1%”, czyli użytkowników, którzy aktywowali portfel za pomocą frazy nasiennej i skontaktowali się z pomocą techniczną „w ciągu 7 dni od aktywacji”.

Dodano, że incydent nie spowodował żadnej utraty środków, ponieważ żaden z prywatnych kluczy użytkownika nie został naruszony.

W ramach działań podjętych po incydencie firma Tangem skontaktowała się z poszkodowanymi użytkownikami i trwale usunęła wszystkie załączniki z logów przesłane do zespołu wsparcia technicznego firmy.

W chwili pisania tego artykułu odpowiedź Tangem ograniczała się do Reddita i firma nie wydała żadnego oświadczenia na temat incydentu w żadnym innym kanale społecznościowym.

Wywołało to krytykę ze strony członków społeczności, z których wielu nadal sceptycznie podchodzi do środków podejmowanych przez dostawcę portfela.

Kradzież kluczy prywatnych nadal stanowi problem

Klucze prywatne pozostają narażone na różne zagrożenia, w tym luki w oprogramowaniu, ataki phishingowe i niewłaściwe praktyki przechowywania.

Jak wcześniej informował Invezz, kradzież kluczy prywatnych była największym wektorem ataku w 2024 r., stanowiąc około 75% wszystkich włamań. Tylko w trzecim kwartale stracono ponad 343 miliony dolarów, zgodnie z innym raportem.

Ujawnienie kluczy prywatnych doprowadziło również do jednych z największych strat w tym roku. Na przykład atak na indyjską giełda kryptowalut WazirX w lipcu miał swoje źródło w skradzionych kluczach prywatnych, co spowodowało straty przekraczające 235 milionów dolarów.