Crypto wallet Tangem möter motreaktioner efter att app-bugg avslöjar användarnas privata nycklar

Tangem, en leverantör av kryptovaluta plånbok , har varit indragen i kontroverser efter att en kritisk säkerhetsrisk i dess mobilapp avslöjat vissa användares privata nycklar.

Enligt Tangem härrörde sårbarheten från en bugg i Tangems mobilapp, som av misstag loggade användarnas privata nycklar i applikationens loggar när en användare skapade en plånbok och genererade en fröfras.

Problemet upptäcktes av Tangem plånboksanvändare på sociala medieplattformen Reddit men togs upp av företaget först efter att ett inlägg den 29 december från användaren u/areklanga uppmärksammat problemet.

Redditor hävdade att loggar inte bara lagrades i appen utan också potentiellt tillgängliga via användarens e-posthistorik, Tangems interna stödsystem och biljettspårningsverktyg.

För att lägga till kontroversen raderades det ursprungliga inlägget som flaggade buggen, och företaget "gav ingen vettig reaktion", tillade användaren.

Vad hände?

Tangem tog upp problemet i ett svar den 29 december och hävdade att problemet hade minimal påverkan och bara påverkade användare som "omedelbart skickade in en supportförfrågan via appen" efter att ha använt en genererad frönfras.

Tangems frögenereringsprocess ger användarna möjlighet att skapa plånböcker med eller utan en frönfras. När en användare väljer att skapa en plånbok med en fröfras, genererar Tangem-appen en 12 eller 24-ordsfras baserad på BIP39-standarden.

Den här frasen visas en gång under installationen och användarna måste skriva ner den och lagra den på ett säkert sätt, eftersom den inte kan hämtas senare.

I ett uppföljningsinlägg den 30 december sa företaget att buggen, som introducerades samtidigt som en NFC-loggningsmekanism lades till, korrigerades i en ny uppdatering och uppmanade användare att uppdatera mobilapplikationen.

Angående effekten av intrånget, sa företaget att de drabbade användarna uppgick till "färre än 0,1%", användare som aktiverade en plånbok med hjälp av en fröfras och kontaktade support "inom 7 dagar efter aktivering."

Den tillade att incidenten inte ledde till någon förlust av pengar eftersom ingen av användarens privata nycklar äventyrades.

Som en del av sina åtgärder efter incidenten har Tangem nått ut till berörda användare och permanent raderat alla loggbilagor som skickats till företagets supportteam.

När det skrevs har Tangems svar begränsats till Reddit, och det har inte gjort några tillkännagivanden angående incidenten över sina andra sociala mediekanaler.

Detta har lett till viss kritik från community-medlemmar, av vilka många fortfarande är skeptiska till de åtgärder som plånboksleverantören vidtagit.

Stöld av privat nyckel är fortfarande ett problem

Privata nycklar förblir i riskzonen från olika hot, inklusive sårbarheter i programvara, nätfiskeattacker och felaktiga lagringsmetoder.

Som tidigare rapporterats av Invezz var stöld av privata nyckel den största attackvektorn för 2024, och stod för ungefär 75 % av alla hack. Bara under tredje kvartalet gick över 343 miljoner dollar förlorade, enligt en separat rapport.

Läckor av privata nyckel ledde till några av de största förlusterna för året också. Till exempel härrörde julihacket av den indiska kryptobörs WazirX från komprometterade privata nycklar, vilket ledde till över 235 miljoner dollar i förluster.