Portofelul criptografic Tangem se confruntă cu reacții adverse după ce eroarea aplicației dezvăluie cheile private ale utilizatorilor

Tangem, un furnizor de portofel cu criptomonede, a fost implicat în controverse după ce o vulnerabilitate critică de securitate în aplicația sa mobilă a expus cheile private ale unor utilizatori.

Potrivit Tangem, vulnerabilitatea a provenit dintr-o eroare din aplicația mobilă a lui Tangem, care a înregistrat în mod eronat cheile private ale utilizatorilor în jurnalele aplicației atunci când un utilizator a creat un portofel și a generat o frază de bază.

În special, problema a fost depistată de utilizatorii portofelului Tangem pe platforma de socializare Reddit, dar a fost abordată de companie numai după ce o postare din 29 decembrie a utilizatorului u/areklanga a atras atenția asupra problemei.

Redditor a susținut că jurnalele nu au fost doar stocate în aplicație, ci și pot fi accesibile prin istoricul de e-mail al utilizatorilor, sistemele interne de asistență Tangem și instrumentele de urmărire a biletelor.

Adăugând la controversă, postarea inițială care semnala eroarea a fost ștearsă, iar compania nu a „oferit nicio reacție sensibilă”, a adăugat utilizatorul.

Ce s-a întâmplat?

Tangem a abordat problema într-un răspuns din 29 decembrie, susținând că problema a avut un impact minim și a afectat doar utilizatorii care „au trimis imediat o solicitare de asistență prin aplicație” după ce au folosit o expresie de bază generată.

Procesul de generare a semințelor Tangem oferă utilizatorilor opțiunea de a crea portofele cu sau fără o expresie de semințe. Când un utilizator optează pentru a crea un portofel cu o expresie de bază, aplicația Tangem generează o expresie de 12 sau 24 de cuvinte pe baza standardului BIP39.

Această expresie este afișată o dată în timpul configurării, iar utilizatorii trebuie să o noteze și să o păstreze în siguranță, deoarece nu poate fi preluată ulterior.

Într-o postare ulterioară din 30 decembrie, compania a spus că eroarea, care a fost introdusă în timpul adăugării unui mecanism de înregistrare NFC, a fost corectată într-o actualizare recentă și a îndemnat utilizatorii să actualizeze aplicația mobilă.

În ceea ce privește impactul încălcării, firma a spus că utilizatorii afectați au fost „mai puțin de 0,1%”, utilizatorii care au activat un portofel folosind o expresie de bază și au contactat asistența „în termen de 7 zile de la activare”.

Acesta a adăugat că incidentul nu a dus la nicio pierdere de fonduri, deoarece niciuna dintre cheile private ale utilizatorului nu a fost compromisă.

Ca parte a măsurilor sale după incident, Tangem a contactat utilizatorii afectați și a șters definitiv toate atașamentele de jurnal trimise echipei de asistență a companiei.

În momentul în care am scris, răspunsul lui Tangem s-a limitat la Reddit și nu a făcut niciun anunț cu privire la incident pe celelalte canale de socializare.

Acest lucru a condus la unele critici din partea membrilor comunității, dintre care mulți rămân sceptici cu privire la măsurile luate de furnizorul de portofel.

Furtul de chei private rămâne o preocupare

Cheile private rămân expuse riscului de diverse amenințări, inclusiv vulnerabilități software, atacuri de phishing și practici de stocare necorespunzătoare.

După cum a raportat anterior de către Invezz, furtul de chei private a fost cel mai mare vector de atac pentru 2024, reprezentând aproximativ 75% din toate hackurile. Numai în al treilea trimestru, s-au pierdut peste 343 de milioane de dolari, potrivit unui raport separat.

Scurgerile de chei private au dus la unele dintre cele mai mari pierderi și pentru anul. De exemplu, hack-ul din iulie al schimbului criptografic indian WazirX a rezultat din chei private compromise, ceea ce a dus la pierderi de peste 235 de milioane de dolari.