У гаманці Tangem виявлено критичну уразливість із витоком приватних ключів, ризики для коштів тисяч користувачів ще оцінюються.

Постачальник криптогаманців Tangem нещодавно визнав, що їхній мобільний додаток мав серйозний дефект безпеки — приватні ключі користувачів під час створення гаманця помилково записувалися в журнали додатка. До цих журналів могли мати доступ співробітники служби підтримки, вони навіть могли потрапити до електронної пошти працівників і в систему обробки заявок.

Хронологія подій

29 грудня: Користувач Reddit u/areklanga вперше розкрив цю уразливість, звинувативши Tangem у повільній реакції на попередні повідомлення про проблему, а також у тому, що приватні ключі могли бути збережені у кількох місцях.

30 грудня: Tangem офіційно відповів, визнавши, що проблема виникла через баг обробки журналів додатка, який вже виправлено, і заявив, що всі журнали та вкладення, надіслані до служби підтримки, були остаточно видалені.

31 грудня: Спільнота помітила, що Tangem не опублікував офіційного повідомлення на жодному з каналів (Twitter/Discord/Telegram), що призвело до кризи довіри.

Масштаб впливу та ризики

Постраждала певна група користувачів: ті, хто одразу після генерації seed-фрази відправив запит до служби підтримки. Tangem заявляє, що кількість постраждалих “невелика”, але конкретних цифр не оприлюднено. Приватні ключі були потенційно скомпрометовані через:

• Історію листування користувачів електронною поштою
• Електронну пошту співробітників Tangem
• Систему відстеження заявок Tangem

Реакція спільноти

Криптоспільнота негативно оцінила дії Tangem:

• Затримка з реакцією: понад 24 години після першого розголошення знадобилося для офіційного підтвердження
• Непрозора комунікація: офіційні соцмережі мовчали, відповідь була лише у постах розробників
• Нечіткі цифри: не оприлюднено даних про кількість постраждалих користувачів та обсяг коштів
• Придушення інформації: деякі пости на Reddit були безпідставно видалені

Поточні рекомендації

Tangem вже випустив оновлення для запобігання подальшим витокам. Усі користувачі повинні якнайшвидше оновити додаток, а постраждалих користувачів вже проінформували. Однак спільнота закликає Tangem провести комплексний аудит безпеки та підвищити прозорість.

Ключове питання: термін збереження приватних ключів у журналах додатка досі не визначено, тому ризик повторного витоку повністю не виключено.