根据 Cointelegraph 的报导,虚拟货币钱包提供商 Tangem 已经解决了其行动应用程式中的一个重大安全漏洞,该漏洞通过电子邮件暴露了某些用户的私钥。这一行动是在 Reddit 用户反复警告后采取的,他们强调由于私钥暴露给电子邮件帐户和 Tangem 员工,对投资者的资金构成了风险。
该问题在 12 月 29 日引起了关注,当时一个 Reddit 讨论指控 Tangem 通过电子邮件挪用私钥。一位 Reddit 用户 u/areklanga 批评 Tangem 在最初报告问题时未能适当回应。该用户声称私钥存储在用户的电子邮件历史中、Tangem 的电子邮件记录中,并且可能在 Tangem 的工单追踪系统中,使得 Tangem 的员工可以访问这些私钥。他们还指出,之前有关该故障的 Reddit 帖子莫名其妙地被删除。
在 12 月 30 日,Tangem 承认了该问题,将其归因于行动应用程式日志处理中的一个错误,该错误已经 "完全解决"。该公司解释说,这个问题发生在创建一个带有种子短语的钱包时,私钥错误地记录在应用程式的日志中。这些日志可以在与 Tangem 的支持团队互动时访问。Tangem 确认,所有发送给其支持团队的日志和附件都已被永久删除,以确保没有残留数据。
Tangem 表示,该漏洞影响了一小部分用户,具体而言是那些生成种子短语并立即通过应用程式提交支持请求的用户。该公司正在主动联系这些用户以提供警示和支持。尽管在 12 月 30 日进行了更新以防止进一步的泄漏,但加密社区的成员批评 Tangem 的反应过于低调。截至 12 月 31 日,Tangem 尚未在其社交媒体渠道上(包括 Twitter、Discord 或 Telegram)发表任何官方声明。然而,所有 Tangem 用户都被建议及时更新他们的行动应用程式以防止种子短语泄漏。