加密貨幣錢包提供商 Tangem 修復了其移動應用程序上的一個嚴重安全漏洞,該漏洞通過電子郵件收集某些用戶的私鑰。
在 Redditors 多次指責 Tangem 通過電子郵件賬戶和 Tangem 員工泄露投資者私鑰,使投資者的資金面臨風險後,Tangem 做出了修復。
12 月 29 日,Reddit 上關於 Tangem 運營的討論引起了廣泛關注,該討論指責該錢包提供商通過電子郵件竊取私鑰。Reddit 用戶 u/areklanga 進一步指責 Tangem 在之前指出該問題時沒有提供“任何合理的反應”。
“因此,用戶的私鑰保留在用戶的電子郵件歷史、Tangem的電子郵件歷史中,也可能在某個Tangem票務跟蹤系統中,並可供Tangem員工訪問。這使得所有Tangem用戶都處於危機之中。”
他們還聲稱,提到該故障的原始Reddit帖子“因某種原因被刪除。”
Tangem及時發佈了一個漏洞修復
Tangem在12月30日承認了該問題,並表示事件源於移動應用日誌處理中的一個錯誤,該錯誤現在已“完全解決”。Tangem還提供了情況的詳細說明:
“問題是什麼?在使用種子短語創建錢包時,私鑰錯誤地記錄在應用程序的日誌中。這些日誌可能在與我們的支持團隊互動時被訪問。”
Tangem於12月30日發佈了新更新。來源:Google Play
Tangem的官方網站記錄了其移動應用程序的所有版本更新,但沒有提及12月30日更新的詳細信息。
Tangem在其Reddit迴應中也確認“發送給其支持團隊的所有日誌和附件已被永久刪除,確保沒有殘留數據。”
Tangem被指控淡化情況
根據公司說法,種子短語泄露的漏洞影響了一小部分用戶,並且他們正在主動聯繫以進行謹慎處理和支持:
“這可能隻影響了一個非常有限的用戶羣體:具體來說,那些使用生成的種子短語,然後立即通過應用程序提交支持請求的用戶。這不影響其他用戶。”
雖然Tangem於12月30日推出了更新以防止種子短語的進一步泄露,但加密社區成員對該錢包提供商的低調回應表示了不滿。Tangem沒有迴應Cointelegraph的評論請求。
截至12月31日,Tangem在其官方社交媒體渠道、Twitter、Discord或Telegram上沒有發佈任何官方公告。然而,所有Tangem用戶被建議立即更新他們的移動應用程序以避免種子短語泄露。
雜誌:故事協議幫助IP創作者在AI攻擊中生存……並以加密貨幣獲得報酬