Lesezeit : Ca. 7 min
Das oberste Gebot bei Safe In Krypto ist, unseren Kunden die besten Sicherheitsprodukte im Kryptospace zu liefern. Daher sind wir absolut verpflichtet, die neuesten Erkenntnisse mit euch zu teilen.
Daher möchten wir dich über ein wichtiges Thema informieren, das Tangem-Wallet-Nutzer betrifft. Vor Kurzem wurde eine Sicherheitslücke in der Tangem-App entdeckt, die in sehr spezifischen Fällen private Schlüssel gefährden könnte. Tangem hat das Problem zwar schnell behoben, aber uns ist wichtig, dich direkt und transparent darüber aufzuklären.
Als Reseller von Tangem liegt uns deine Sicherheit und dein Vertrauen am Herzen. Deshalb erklären wir dir, was passiert ist, wer betroffen sein könnte und welche Schritte du unternehmen kannst, um deine Wallets weiterhin sicher zu nutzen.
Wir wissen, dass solche Situationen für Verunsicherung sorgen können. Deshalb möchten wir dir versichern, dass wir in solchen Momenten immer für dich da sind. Wenn du Fragen hast oder Unterstützung brauchst – ob bei der Einrichtung deines Wallets, einem Update oder anderen Themen – kannst du dich jederzeit bei uns melden. Wir stehen dir mit Rat und Tat zur Seite!
Lies weiter, um alle wichtigen Details zu erfahren und zu sehen, wie du deine Wallets bestmöglich absichern kannst. Ausserdem findest du ganz unten das offizielle Statement von Tangem.
Nun möchten wir zuerst unsere Sicht des Vorfalls schildern :
Als Reseller von Tangem haben wir immer darauf vertraut, dass die Wallet-Lösungen höchste Sicherheitsstandards erfüllen. Genau aus diesem Grund waren wir zutiefst erschüttert, als bekannt wurde, dass eine Sicherheitslücke in der Tangem-App unter sehr spezifischen Umständen dazu führen konnte, dass private Schlüssel oder Seed-Phrasen in den App-Protokollen auftauchten. Auch wenn Tangem schnell reagiert und das Problem behoben hat, ist dieser Vorfall für uns mehr als nur eine technische Panne.
Was genau ist passiert?
Kurz gesagt: Wenn ein Wallet mit einer Seed-Phrase aktiviert wurde – entweder durch Generieren oder Importieren – und der Nutzer innerhalb von 7 Tagen den Support über die App kontaktierte, wurde der private Schlüssel fälschlicherweise in den Protokollen der App gespeichert. Diese Protokolle wurden dann bei der Support-Anfrage an Tangem weitergeleitet. Zwar waren weniger als 0,1 % der Nutzer betroffen, doch allein die Möglichkeit, dass so etwas überhaupt passieren konnte, ist für uns alarmierend.
Das eigentliche Problem: Nicht die Sicherheitslücke, sondern die Erkenntnis
Für uns ist die eigentliche Tragweite dieses Vorfalls nicht die Sicherheitslücke selbst, die nur wenige Nutzer betraf. Das wirklich Besorgniserregende ist die Erkenntnis, dass es technisch überhaupt möglich war, dass ein Hardware-Wallet – dessen Kernfunktion der Schutz privater Schlüssel ist – diese Daten jemals auf irgendeine Weise preisgeben konnte.
Ein Hardware-Wallet ist darauf ausgelegt, private Schlüssel und Seed-Phrasen niemals zugänglich zu machen, weder für den Nutzer noch für Entwickler oder Support-Teams. Dass eine Funktion (wenn auch unbeabsichtigt und durch einen Fehler) dies umgehen konnte, wirft Fragen auf, die über diesen spezifischen Vorfall hinausgehen. Es zeigt, dass bei der Entwicklung der App ein zusätzlicher Schutzmechanismus hätte vorhanden sein müssen, um solche Szenarien grundsätzlich auszuschließen.
Warum uns das so wichtig ist
Als Reseller vertreten wir nicht nur Tangem, sondern auch die Interessen unserer Kunden, die uns ihr Vertrauen schenken. Dieses Vertrauen basiert darauf, dass Hardware-Wallets wie Tangem absolute Sicherheit bieten. Jeder Vorfall, der zeigt, dass diese Sicherheit unter bestimmten Umständen kompromittiert werden kann, erschüttert dieses Vertrauen – selbst wenn er nur wenige Nutzer betrifft.
Wir möchten daher klarstellen, dass wir diesen Vorfall sehr ernst nehmen und uns intensiv mit Tangem über zusätzliche Sicherheitsmaßnahmen austauschen werden. Unser Ziel ist es, solche potenziellen Risiken in der Zukunft vollständig auszuschließen, um dir und allen anderen Nutzern die Sicherheit zu geben, die ihr von einem Hardware-Wallet erwarten könnt.
Empfehlungen für unsere Kunden: So gehst du jetzt vor
Nach dem Vorfall mit der Sicherheitslücke möchten wir dir klare und konkrete Empfehlungen geben, wie du als Nutzer optimal vorgehst. Zunächst einmal möchten wir betonen, dass Tangem weiterhin eine hervorragende Lösung für Einsteiger in die Welt der Kryptowährungen ist. Die Möglichkeit, viele Coins und Netzwerke auf einer Wallet zu verwalten, macht Tangem einzigartig.
Doch der Vorfall hat uns eine wichtige Erkenntnis gebracht: Tangem ist nicht dafür ausgelegt, mit einer Seed-Phrase genutzt zu werden. Tangem selbst hat immer empfohlen, die Wallet ohne Seed-Phrase-Funktion aufzusetzen oder zu nutzen. Dieser Ansatz bietet eine deutlich höhere Sicherheit.
Warum du Tangem ohne Seed-Phrase nutzen solltest
Wenn du ein Tangem Wallet ohne Seed-Phrase einrichtest, wird der private Schlüssel direkt und verschlüsselt auf dem Chip der Karte erstellt. Das bedeutet:
- Es wird nichts auf deinem Smartphone oder in der App gespeichert.
- Es gibt keine Möglichkeit, dass der Schlüssel jemals protokolliert oder angezeigt wird.
- Der Schutz ist somit vollständig gewährleistet.
Im Gegensatz dazu birgt die Nutzung der Seed-Phrase-Funktion potenzielle Risiken:
- Die Seed-Phrase wird auf dem Bildschirm deines Smartphones angezeigt, was eine mögliche Schwachstelle darstellt.
- Auch wenn Tangem versichert, dass diese Daten nur kurz gespeichert und sofort gelöscht werden, könnte dein Smartphone selbst kompromittiert sein, wodurch Dritte darauf zugreifen könnten.
Dieser Vorfall hat uns gezeigt, wie wichtig es ist, die Wallet entsprechend der empfohlenen seedless Konfiguration zu nutzen.
Was solltest du jetzt tun?
Wenn du dein Tangem Wallet bereits ohne Seed-Phrase nutzt:- Herzlichen Glückwunsch – du hast alles richtig gemacht! In diesem Fall besteht kein Handlungsbedarf, da deine privaten Schlüssel sicher auf dem Chip gespeichert sind. Du kannst dein Wallet weiterhin bedenkenlos verwenden.
Wir empfehlen dringend, die folgenden Schritte zu unternehmen:
-
Erstelle ein neues Tangem Wallet ohne Seed-Phrase:
- Richte ein neues Wallet ein, bei dem die Seed-Phrase-Funktion nicht genutzt wird.
- Dadurch wird der private Schlüssel verschlüsselt auf dem Chip erstellt, ohne dass er jemals sichtbar wird.
-
Übertrage deine Werte auf das neue Wallet:
- Sende alle Kryptowährungen von deinem bestehenden Wallet auf das neu eingerichtete Wallet.
-
Setze das alte Wallet auf die Werkseinstellungen zurück:
- Dadurch wird der alte private Schlüssel gelöscht.
-
Nutze das alte Wallet wieder ohne Seed-Phrase:
- Nach dem Zurücksetzen kannst du das Wallet erneut einrichten, diesmal ohne die Seed-Phrase-Funktion.
Warum ist das wichtig?
Die seedless Konfiguration ist der sicherste Weg, Tangem zu nutzen.
Ein Sicherheitsaudit, das Tangem durchführen ließ, hat bestätigt, dass die private Schlüssel bei dieser Methode niemals öffentlich zugänglich sind. Das Risiko, dass jemand auf deine Seed-Phrase zugreift – sei es durch eine Sicherheitslücke oder ein kompromittiertes Smartphone – wird damit vollständig ausgeschlossen.
Unsere Empfehlung zusammengefasst
- Nutze Tangem Wallets immer ohne Seed-Phrase-Funktion.
- Wenn du bereits die Seed-Phrase-Funktion genutzt hast, setze ein neues Wallet auf und übertrage deine Werte.
- Setze alte Wallets zurück und nutze sie erneut ohne Seed-Phrase.
Unsere Perspektive als Reseller
Warum wir uns an Tangem gewandt haben
Als Reseller von Tangem sehen wir es als unsere Verantwortung, Sicherheitsvorfälle wie diesen nicht nur ernst zu nehmen, sondern auch aktiv nach Lösungen zu suchen. Nachdem der Vorfall bekannt wurde, haben wir sofort den Kontakt zu Tangem gesucht, um klare Antworten und Lösungen zu erhalten. Unsere Priorität war es, zu verstehen, wie es zu diesem Fehler kommen konnte, welche Maßnahmen ergriffen wurden und wie wir unseren Kunden die bestmögliche Sicherheit gewährleisten können.
Tangem hat uns versichert, dass der Vorfall gründlich untersucht wurde und dass Maßnahmen implementiert wurden, um ähnliche Probleme in Zukunft zu verhindern. Diese Offenheit und die schnellen Reaktionen des Tangem-Teams schätzen wir sehr. Dennoch bleibt für uns der Anspruch, dich als Kunde so transparent und umfassend wie möglich zu informieren.
Wie wir dich schützen möchten
Unsere oberste Priorität ist es, dein Vertrauen zu bewahren. Deshalb haben wir klare Empfehlungen ausgearbeitet, wie du deine Tangem Wallets sicher nutzen kannst, insbesondere mit Blick auf die seedless Konfiguration, die nachweislich den höchsten Schutz bietet.
Darüber hinaus möchten wir dich in solchen Situationen nicht allein lassen. Ob du Unterstützung beim Einrichten einer neuen Wallet benötigst, Hilfe beim Übertragen deiner Werte brauchst oder Fragen zum Vorfall hast – wir stehen dir mit Rat und Tat zur Seite. Sicherheit in der Welt der Kryptowährungen ist komplex, und wir möchten, dass du dich jederzeit gut aufgehoben fühlst.
Wir bleiben für dich da
Dieser Vorfall zeigt, wie wichtig es ist, ständig wachsam zu bleiben und die höchsten Sicherheitsstandards einzuhalten. Wir möchten dir versichern, dass wir dich weiterhin über alle wichtigen Entwicklungen informieren werden. Dein Vertrauen ist unser größtes Anliegen, und wir setzen alles daran, es zu stärken.
Solltest du noch Fragen haben oder Unterstützung benötigen, zögere bitte nicht, uns zu kontaktieren. Unser Team ist für dich da, um dir zu helfen und alle Unklarheiten zu beseitigen.
Hinweis:
Im Anschluss an diesen Beitrag findest du das offizielle Statement von Tangem zu diesem Vorfall. Es bietet dir zusätzliche Details darüber, wie Tangem das Problem behoben hat und welche Maßnahmen ergriffen wurden, um die Sicherheit weiter zu verbessern.
Tangem identifiziert und behebt potenzielle Schwachstellen
Lesezeit : Ca. 5 min
Tangem hat eine potenzielle Sicherheitslücke identifiziert und umgehend behoben, die einen kleinen Prozentsatz der Wallet-Benutzer betrifft. Nach einer gründlichen Untersuchung können wir bestätigen, dass keine privaten Schlüssel kompromittiert wurden, keine Benutzergelder verloren gegangen sind und auf keine Konten zugegriffen wurde. Das Problem wurde proaktiv identifiziert, und nur eine sehr kleine Gruppe von Benutzern – weniger als 0,1 % – konnte unter ganz bestimmten Umständen potenziell betroffen sein.
Was war das Problem?
Beim Aktivieren einer Wallet mit einer Seed-Phrase – durch Generieren oder Importieren einer solchen – wurde der private Schlüssel fälschlicherweise in den Protokollen der mobilen App protokolliert. Auf diese Protokolle kann später während der Interaktion mit unserem Support-Team zugegriffen werden.
Wer könnte potenziell von diesem Problem betroffen sein?
Dieses Problem betrifft Benutzer, die:
- Eine Wallet mit einer Seed-Phrase aktiviert haben UND;
- Kontaktieren Sie unser Support-Team über die App innerhalb von 7 Tagen nach der Aktivierung.
Nur eine Kombination dieser beiden Szenarien kann zu einer Schwachstelle führen. Wenn Sie eine Seed-Phrase generiert oder importiert haben, aber innerhalb der 7-tägigen Protokollspeicherfrist keine E-Mail direkt aus der App an den Support gesendet haben, sind Sie möglicherweise nicht betroffen.
Wer ist NICHT betroffen?
Die Mehrheit der Tangem-Benutzer war von diesem Problem nicht betroffen, darunter:
-
Benutzer, die die Wallet OHNE Seed-Phrase aktiviert haben: Wenn Sie Ihre Wallet ohne Seed-Phrase (seedless) aktiviert haben, wurden Ihre privaten Schlüssel auf dem Chip der Karte generiert, und dieses Problem betrifft Sie in keiner Weise. Aufgrund dieser Einrichtung ohne Startbasis werden private Schlüssel nicht in der mobilen App generiert und können daher nicht protokolliert werden.
-
Benutzer, die den Support nicht über die App kontaktiert haben: Unabhängig davon, ob Ihre Wallet eine Seed-Phrase verwendet oder ohne Seed ist, müssen Sie sich keine Sorgen machen, wenn Sie den Tangem-Support nicht über die App kontaktiert haben. Darüber hinaus wurden alle Protokolle für kurze Zeit sicher gelagert und bald darauf gelöscht.
Warum ist dieses Problem aufgetreten?
Wir haben einen fortschrittlichen NFC-Protokollierungsmechanismus eingeführt, um die App-Leistung auf bestimmten Geräten zu verbessern. Dieser Mechanismus enthielt jedoch einen Fehler, der bei den ersten Codeüberprüfungen oder Tests nicht erkannt wurde.
Wie Tangem dieses Problem behoben hat
Wir haben die folgenden Schritte unternommen, um das Problem zu beheben:
-
Fehler behoben: Der Fehler wurde in den neuesten App-Versionen im App Store (Version 5.19.1) und bei Google Play (Version 5.19.2) zeitnah erkannt und behoben. Es ist sicher und private Daten werden unter keinen Umständen mehr protokolliert.
-
Protokolle und Informationen gelöscht: Alle Protokolle und Anhänge, die an unser Support-Team gesendet wurden, wurden dauerhaft gelöscht, um sicherzustellen, dass keine Restdaten übrig bleiben.
-
Benachrichtigung der Benutzer: Eine In-App-Benachrichtigung benachrichtigt alle Benutzer, die die Wallet aktiviert haben, mit einer Seed-Phrase und fragt sie, ob sie innerhalb von 7 Tagen nach der Aktivierung der Wallet eine E-Mail an den Support über die mobile App gesendet haben. Diejenigen, die mit Ja antworten, müssen sich an die Empfehlungen halten, die in diesem Beitrag skizziert werden.Wichtig: Tangem-Mitarbeiter werden Ihnen niemals zuerst auf Telegram oder anderen Social-Media-Plattformen eine DM schicken.
-
Verbesserte Sicherheitsmaßnahmen: Wir haben zusätzliche Sicherheitsvorkehrungen und Protokolle implementiert, um ähnliche Probleme in Zukunft zu vermeiden.
Was sollten Sie tun, wenn Sie betroffen waren?
Wir empfehlen dringend, die folgenden Schritte zu unternehmen, um maximale Sicherheit zu gewährleisten:
-
Aktualisieren Sie die Tangem-App auf die neueste Version.
-
Überweisen Sie Ihr Geld aus der betroffenen Tangem Wallet.
-
Setzen Sie die Wallet auf die Werkseinstellungen zurück.
-
Reaktivieren Sie die Wallet ohne Seed-Phrase oder erstellen Sie eine neue Seed-Phrase.
-
Überweisen Sie Ihr Geld zurück auf Ihre neu aktivierte Tangem Wallet.
Bug-Bounty-Programm
Tangem führt ein Bug-Bounty-Programm durch, um unsere Sicherheitsbemühungen zu unterstützen. Diese Initiative lädt Sicherheitsforscher, ethische Hacker und die breitere Gemeinschaft ein, Schwachstellen in unseren Systemen zu identifizieren. Wir sind der Meinung, dass gemeinsame Sicherheitsbemühungen unerlässlich sind, um das Vertrauen der Benutzer zu erhalten.
Teilnehmer, die gültige Schwachstellen identifizieren, haben Anspruch auf Belohnungen, um sicherzustellen, dass potenzielle Risiken gemindert werden, bevor sie sich auf die Benutzer auswirken können.
Erfahren Sie mehr über das Bug-Bounty-Programm.
Finale
Bei diesem Vorfall gab es keine Opfer – es wurden keine privaten Schlüssel kompromittiert, es gingen keine Gelder verloren und es gab keinen unbefugten Zugriff. Die potenzielle Schwachstelle erforderte eine Reihe von Umständen, die auf eine sehr kleine Anzahl von Tangem-Benutzern zutrafen. Auch in Zukunft konzentrieren wir uns darauf, das sicherste und benutzerfreundlichste Cold-Wallet-Erlebnis zu bieten.
Häufig gestellte Fragen
Wie hat die Tangem-App Protokolle erstellt?
Protokolle werden nur generiert und gesendet, wenn der Benutzer den Support manuell über die mobile App kontaktiert. Alle Protokolle werden als Dateien angehängt, die der Benutzer vor dem Senden überprüfen kann. App-Protokolle wurden nie automatisch generiert oder an Tangem übertragen.
Hat Tangem alle Log-Dateien gelöscht?
Ja, und wir haben alle möglichen Maßnahmen ergriffen, um die Sicherheit aller Benutzer zu gewährleisten.
Was wäre, wenn ich eine Brieftasche ohne Samen hätte?
Sie müssen sich keine Sorgen machen. Dieses Problem wirkt sich nicht auf Benutzer aus, die ihre Tangem Wallet ohne Seed-Phrase aktiviert haben.
Woher weiß ich, ob meine Wallet mit einer Seed-Phrase aktiviert wurde?
Öffnen Sie die Tangem Mobile App und überprüfen Sie die Informationsleiste der Wallet. Wallets, die mit einer Seed-Phrase aktiviert wurden, haben die Aufschrift "Seed-Phrase" nach der Anzahl der Geräte.
Woher weiß ich, ob ich betroffen bin?
Wenn Sie Ihre Tangem-Wallet mit einer Seed-Phrase aktiviert und den Tangem-Support innerhalb von 7 Tagen nach der Aktivierung über die App kontaktiert haben, könnten Sie betroffen sein.
Bitte überprüfen Sie Ihren E-Mail-Verlauf – einschließlich Entwürfe – mit dem Tangem-Support, um die Daten Ihrer Kommunikation in Bezug auf den Zeitpunkt zu überprüfen, an dem Sie Ihre Wallet mit einer Seed-Phrase aktiviert haben.