Tangem Wallet はセキュリティ侵害に直面し、ユーザーのシードフレーズが電子メール経由で公開されたため、ユーザーの資金を保護し、コミュニティの懸念に対処するために迅速な修正が求められました。

暗号通貨ウォレットプロバイダーのTangemは、モバイルアプリの重大なセキュリティ脆弱性に対処しました。この脆弱性により、特定のユーザーの秘密鍵が電子メール経由で公開される可能性がありました。

この脆弱性は、Redditでの議論でユーザーの資金に対するリスクが強調された後に発見されました。Redditユーザーは、Tangemが電子メールアカウントの秘密鍵を公開し、従業員がアクセスできるようにしたことを批判しました。

Tangem のウォレットの脆弱性: 何が起こったのか?

12月29日、Redditユーザーのu/areklangaが、 Tangemがこの問題に迅速に対処しなかったとして警鐘を鳴らしました。彼らは、秘密鍵がメール履歴に保存されており、おそらくTangemの内部システムにも保存されていたと主張しました。

さらに、この件を指摘した以前のRedditの投稿が不可解なことに削除されたとユーザーは指摘しました。Tangemは12月30日にこの欠陥を認め、この問題を解決するためにバグ修正をリリースしました。

タンゲム社はこの問題に関する声明の中で、問題は完全に解決されたとユーザーに対し保証した。

同社は、

「この問題に関する皆様のフィードバックに心から感謝し、この問題は完全に解決されたことをお約束します。Tangem では透明性、セキュリティ、信頼を最優先しており、このような問題を非常に真剣に受け止めています。」

Tangem 氏によると、この脆弱性はアプリのログ処理システムのバグから生じたとのことです。

この欠陥は、シードフレーズを使用してウォレットを作成し、アプリを通じて直接サポートチームに連絡した限られたユーザーグループに影響を与えました。

秘密鍵を含むこれらのログは、削除される前に短期間アクセス可能でした。

同社は、シードフレーズなしでウォレットを有効化したユーザーは、秘密鍵がTangemのハードウェアカード上で直接生成されるため影響を受けないことを明らかにしました。

同社は次のように説明しました。

「このような設定では秘密鍵は存在しないため、Tangem でさえも誰も秘密鍵を抽出することはできません。」

全体的な影響は最小限で、影響を受けたユーザーは 0.1% 未満でしたが、Tangem 氏は状況の深刻さを認めました。

「当社は、お客様がTangemに寄せる信頼を認識しており、最高水準のセキュリティと透明性を維持することで、その信頼を維持することに全力で取り組んでいます。」

Tangem がセキュリティバグを修正、秘密鍵の漏洩はないと約束

Tangem は迅速に対応し、バグを特定して修正し、アプリを更新して、いかなる状況でも秘密鍵が記録されないようにしました。

同社はユーザーをさらに保護するため、サポートチームに送信されたすべてのログと添付ファイルを永久に削除し、将来同様の問題が発生するのを防ぐための強化されたセキュリティプロトコルを実装しましました。

Tangem は、影響を受ける可能性のあるユーザーに直接連絡を取り、アカウントを保護するための明確な指示を提供しています。

同社は、セキュリティを最適に保つために、すべてのユーザーに対し、Tangem アプリを最新バージョンにアップデートするよう呼びかけています。

さらに、Tangem は、セキュリティ研究者や倫理的なハッカーにシステムの脆弱性を特定するよう奨励する、アクティブなバグ報奨金プログラムを強調しました。

Tangem は、このバグによって秘密鍵が侵害されたり、資金が失われたり、不正アクセスが発生したりしていないことをコミュニティに保証しました。

修正にもかかわらず、一部の暗号通貨コミュニティのメンバーはTangemの透明性の欠如を批判しました。

12月31日時点で、同社はTwitter、Discord、Telegramなどのソーシャルメディアプラットフォームでこの問題を発表していませんでした。