Kripto para cüzdanı Tangem, uygulama hatasının kullanıcıların özel anahtarlarını ifşa etmesinin ardından tepkiyle karşı karşıya

Kripto para cüzdanı sağlayıcısı Tangem, mobil uygulamasındaki kritik bir güvenlik açığının bazı kullanıcıların özel anahtarlarını ifşa etmesinin ardından tartışmaların odağında yer aldı.

Tangem'e göre güvenlik açığı, Tangem'in mobil uygulamasındaki bir hatadan kaynaklanıyor. Bu hata, bir kullanıcı bir cüzdan oluşturup bir başlangıç cümlesi ürettiğinde, kullanıcının özel anahtarlarının yanlışlıkla uygulamanın günlüklerine kaydedilmesine neden oluyor.

Sorun, Tangem cüzdan kullanıcıları tarafından sosyal medya platformu Reddit'te fark edilmiş ancak şirket, bu sorunu ancak 29 Aralık'ta u/areklanga adlı kullanıcının konuya dikkat çekmesinin ardından ele almıştı.

Reddit kullanıcısı, kayıtların yalnızca uygulamada saklanmadığını, aynı zamanda kullanıcı e-posta geçmişleri, Tangem'in dahili destek sistemleri ve bilet izleme araçları aracılığıyla da erişilebildiğini iddia etti.

Kullanıcı, tartışmayı daha da artıran bir şekilde, hatayı işaretleyen orijinal gönderinin silindiğini ve şirketin "mantıklı bir tepki vermediğini" de sözlerine ekledi.

Ne oldu?

Tangem, 29 Aralık tarihli cevabında bu soruna değinerek sorunun çok az etkisi olduğunu ve yalnızca oluşturulan bir başlangıç cümlesini kullandıktan sonra "uygulama üzerinden hemen destek talebinde bulunan" kullanıcıları etkilediğini iddia etti.

Tangem'in tohum oluşturma süreci, kullanıcılara tohum cümlesi ile veya tohum cümlesi olmadan cüzdan oluşturma seçeneği sunar. Bir kullanıcı tohum cümlesi ile cüzdan oluşturmayı seçtiğinde, Tangem uygulaması BIP39 standardına göre 12 veya 24 kelimelik bir cümle oluşturur.

Bu ifade kurulum sırasında bir kez görüntülenir ve kullanıcıların bunu not edip güvenli bir yerde saklamaları gerekir, çünkü daha sonra geri alınamaz.

Şirket, 30 Aralık'ta yaptığı takip paylaşımında, NFC kayıt mekanizması eklenirken ortaya çıkan hatanın son güncellemeyle giderildiğini belirterek, kullanıcıları mobil uygulamayı güncellemeleri konusunda uyardı.

Şirket, ihlalin etkisiyle ilgili olarak etkilenen kullanıcıların "%0,1'den az" olduğunu, bir başlangıç cümlesi kullanarak bir cüzdanı etkinleştiren ve "etkinleştirmeden sonraki 7 gün içinde" destek ile iletişime geçen kullanıcılar olduğunu söyledi.

Olayın herhangi bir maddi kayba yol açmadığı, zira kullanıcıların özel anahtarlarının hiçbirinin tehlikeye atılmadığı belirtildi.

Tangem, olay sonrası aldığı önlemler kapsamında etkilenen kullanıcılara ulaştı ve şirketin destek ekibine gönderilen tüm günlük eklerini kalıcı olarak sildi.

Yazının yazıldığı ana kadar Tangem'in tepkisi Reddit ile sınırlıydı ve diğer sosyal medya kanallarında olayla ilgili herhangi bir duyuru yapılmadı.

Bu durum, cüzdan sağlayıcısının aldığı önlemlere şüpheyle yaklaşan topluluk üyelerinin bir kısmının eleştirilerine yol açtı.

Özel anahtar hırsızlığı endişe kaynağı olmaya devam ediyor

Özel anahtarlar; yazılım açıkları, kimlik avı saldırıları ve uygunsuz depolama uygulamaları gibi çeşitli tehditler nedeniyle risk altında kalmaya devam ediyor.

Invezz'in daha önce bildirdiği gibi, özel anahtar hırsızlığı 2024'ün en büyük saldırı vektörüydü ve tüm saldırıların yaklaşık %75'ini oluşturuyordu. Ayrı bir rapora göre, yalnızca üçüncü çeyrekte 343 milyon dolardan fazla kayıp yaşandı.

Özel anahtar sızıntıları yılın en büyük kayıplarından bazılarına da yol açtı. Örneğin, Hindistan kripto borsası WazirX'in Temmuz ayındaki hack'i, 235 milyon doların üzerinde kayba yol açan tehlikeye atılmış özel anahtarlardan kaynaklandı.