Crypto wallet Tangem enfrenta reação após bug no aplicativo expor chaves privadas de usuários

A Tangem, provedora de wallet para criptomoedas , está envolvida em polêmica depois que uma vulnerabilidade crítica de segurança em seu aplicativo móvel expôs as chaves privadas de alguns usuários.

De acordo com a Tangem, a vulnerabilidade surgiu de um bug no aplicativo móvel da empresa, que registrava erroneamente as chaves privadas dos usuários nos logs do aplicativo quando um usuário criava uma carteira e gerava uma frase-semente.

Vale ressaltar que o problema foi detectado por usuários da carteira Tangem na plataforma de mídia social Reddit, mas só foi resolvido pela empresa após uma publicação do usuário u/areklanga em 29 de dezembro chamar a atenção para o problema.

O Redditor afirmou que os registros não eram armazenados apenas no aplicativo, mas também potencialmente acessíveis por meio dos históricos de e-mail do usuário, dos sistemas de suporte internos da Tangem e de ferramentas de rastreamento de tickets.

Para piorar a controvérsia, a publicação original que sinalizou o bug foi excluída e a empresa não “deu nenhuma reação sensata”, acrescentou o usuário.

O que aconteceu?

A Tangem abordou o problema em uma resposta de 29 de dezembro, alegando que o problema teve impacto mínimo e afetou apenas usuários que "submeteram imediatamente uma solicitação de suporte por meio do aplicativo" após usar uma frase-semente gerada.

O processo de geração de sementes da Tangem oferece aos usuários a opção de criar carteiras com ou sem uma frase-semente. Quando um usuário opta por criar uma carteira com uma frase-semente, o aplicativo Tangem gera uma frase de 12 ou 24 palavras com base no padrão BIP39.

Esta frase é exibida uma vez durante a configuração e os usuários devem anotá-la e armazená-la com segurança, pois não será possível recuperá-la mais tarde.

Em uma postagem de acompanhamento em 30 de dezembro, a empresa disse que o bug, que foi introduzido durante a adição de um mecanismo de registro NFC, foi corrigido em uma atualização recente e pediu aos usuários que atualizassem o aplicativo móvel.

Sobre o impacto da violação, a empresa disse que os usuários afetados eram “menos de 0,1%”, usuários que ativaram uma carteira usando uma frase-semente e entraram em contato com o suporte “dentro de 7 dias da ativação”.

A empresa acrescentou que o incidente não resultou em nenhuma perda de fundos, pois nenhuma das chaves privadas do usuário foi comprometida.

Como parte de suas medidas pós-incidente, a Tangem entrou em contato com os usuários afetados e excluiu permanentemente todos os anexos de log enviados à equipe de suporte da empresa.

No momento da redação deste artigo, a resposta da Tangem foi limitada ao Reddit e ela não fez nenhum anúncio sobre o incidente em seus outros canais de mídia social.

Isso gerou algumas críticas de membros da comunidade, muitos dos quais continuam céticos em relação às medidas tomadas pelo provedor da carteira.

O roubo de chaves privadas continua sendo uma preocupação

As chaves privadas continuam vulneráveis a várias ameaças, incluindo vulnerabilidades de software, ataques de phishing e práticas de armazenamento inadequadas.

Como relatado anteriormente pela Invezz, o roubo de chaves privadas foi o maior vetor de ataque em 2024, respondendo por cerca de 75% de todos os ataques. Somente no terceiro trimestre, mais de US$ 343 milhões foram perdidos, de acordo com um relatório separado.

Vazamentos de chaves privadas também resultaram em algumas das maiores perdas do ano. Por exemplo, o hack de julho da exchange de criptomoedas WazirX decorreu de chaves privadas comprometidas, o que resultou em perdas de mais de US$ 235 milhões.