Secondo Cointelegraph, il fornitore di portafogli di criptovalute Tangem ha risolto una significativa vulnerabilità di sicurezza nella sua applicazione mobile che esponeva le chiavi private di alcuni utenti via email. Questa azione è seguita a ripetute segnalazioni da parte degli utenti di Reddit che hanno evidenziato il rischio per i fondi degli investitori a causa dell'esposizione delle chiavi private a conti email e dipendenti di Tangem.
Il problema ha attirato l'attenzione il 29 dicembre quando una discussione su Reddit accusava Tangem di appropriazione indebita delle chiavi private tramite email. Un utente di Reddit, u/areklanga, ha criticato Tangem per non aver risposto adeguatamente quando il problema è stato segnalato inizialmente. L'utente ha affermato che le chiavi private erano memorizzate nelle cronologie email degli utenti, nei registri email di Tangem e possibilmente nel sistema di tracciamento dei ticket di Tangem, rendendole accessibili ai dipendenti di Tangem. Hanno anche notato che un precedente post su Reddit riguardante il problema era stato inspiegabilmente rimosso.
Il 30 dicembre, Tangem ha riconosciuto il problema, attribuendolo a un bug nell'elaborazione dei log dell'app mobile, che è stato "completamente risolto". L'azienda ha spiegato che il problema si è verificato durante la creazione di un wallet con una frase seed, dove la chiave privata è stata erroneamente registrata nei log dell'applicazione. Questi log potevano essere accessibili durante le interazioni con il team di supporto di Tangem. Tangem ha confermato che tutti i log e gli allegati inviati al suo team di supporto sono stati permanentemente eliminati per garantire che non rimanga alcun dato residuo.
Tangem ha dichiarato che il bug ha colpito un piccolo gruppo di utenti, in particolare coloro che hanno generato una frase seed e hanno immediatamente inviato una richiesta di supporto tramite l'app. L'azienda sta contattando proattivamente questi utenti per precauzione e supporto. Nonostante l'aggiornamento del 30 dicembre per prevenire ulteriori perdite, i membri della comunità crypto hanno criticato la risposta contenuta di Tangem. A partire dal 31 dicembre, Tangem non aveva effettuato alcun annuncio ufficiale sui suoi canali social, inclusi Twitter, Discord o Telegram. Tuttavia, si consiglia a tutti gli utenti Tangem di aggiornare prontamente le proprie applicazioni mobili per prevenire perdite della frase seed.