O provedor de carteira de criptomoedas Tangem corrigiu uma vulnerabilidade crítica de segurança em seu aplicativo móvel que coletava chaves privadas de certos usuários por e-mails.
A correção veio depois que Redditors repetidamente denunciaram a Tangem por colocar os fundos dos investidores em risco ao expor suas chaves privadas em contas de e-mail e para funcionários da Tangem.
Em 29 de dezembro, uma discussão no Reddit sobre as operações da Tangem ganhou força, acusando o provedor de carteira de roubar chaves privadas usando e-mails. O Redditor, u/areklanga, acusou ainda a Tangem de não fornecer “nenhuma reação sensata” quando o problema foi apontado anteriormente.
“Assim, as chaves privadas dos usuários permanecem tanto no histórico de e-mails do usuário, no histórico de e-mails da Tangem, quanto talvez em algum sistema de rastreamento de tickets da Tangem e estão disponíveis para os funcionários da Tangem. O que compromete todos os usuários da Tangem.”
Eles também afirmaram que o post original no Reddit mencionando o erro “foi excluído por algum motivo.”
A Tangem emitiu uma correção de bug oportuna
A Tangem reconheceu o problema em 30 de dezembro e afirmou que o incidente surgiu de um bug no processamento de logs do aplicativo móvel, que agora foi “totalmente resolvido.” A Tangem também forneceu uma análise da situação:
“Qual foi o problema? Ao criar uma carteira com uma frase-semente, a chave privada foi acidentalmente registrada nos logs do aplicativo. Esses logs poderiam ser acessados posteriormente durante interações com nossa equipe de suporte.”
A Tangem recebeu uma nova atualização em 30 de dezembro. Fonte: Google Play
O site oficial da Tangem, que registra todas as atualizações de versão de seu aplicativo móvel, não mencionou os detalhes sobre a atualização de 30 de dezembro.
A Tangem também confirmou em sua resposta no Reddit que “todos os logs e anexos enviados à sua equipe de suporte foram permanentemente excluídos, garantindo que nenhum dado residual permaneça.”
Tangem acusada de minimizar a situação
De acordo com a empresa, o bug vazador de frases-semente afetou um pequeno grupo de usuários, e eles estão sendo contatados proativamente por cautela e suporte:
“Poderia ter afetado um grupo muito limitado de usuários: especificamente, aqueles que usaram uma frase-semente gerada e, em seguida, imediatamente enviaram um pedido de suporte pelo aplicativo. Não afeta nenhum outro usuário.”
Enquanto a Tangem lançou uma atualização em 30 de dezembro para evitar novos vazamentos de frases-semente, os membros da comunidade cripto criticaram a resposta tímida do provedor de carteira. A Tangem não respondeu ao pedido de comentário da Cointelegraph.
A Tangem não fez nenhum anúncio oficial em seus canais oficiais de redes sociais, Twitter, Discord ou Telegram, até 31 de dezembro. No entanto, todos os usuários da Tangem são aconselhados a atualizar imediatamente seus aplicativos móveis para evitar vazamentos de frases-semente.
Revista: Protocolo de História ajuda criadores de IP a sobreviver ao ataque da IA... e ser pagos em cripto