Trezor twierdzi, że odkryta przez Ledger wada układu Safe 7 nie stanowi zagrożenia dla środków użytkowników

Trezor i Tropic Square ujawniły lukę w zabezpieczeniach dotyczącą układu TROPIC01, wykrytą podczas audytu przeprowadzonego przez Ledger Donjon, podkreślając jednocześnie, że portfel Safe 7 pozostaje bezpieczny, a środki użytkowników nie są zagrożone.

Trezor i Tropic Square ujawniły lukę w zabezpieczeniach dotyczącą jednej z trzech niezależnych warstw ochrony w sprzętowym portfelu Trezor Safe 7, stwierdzając jednocześnie, że problem nie naraża środków użytkowników na ryzyko.

Zgodnie z oświadczeniem Trezora luka została wykryta podczas niezależnego przeglądu bezpieczeństwa przeprowadzonego przez Ledger Donjon, dział badań konkurencyjnego producenta sprzętowych portfeli – Ledger.

Tropic Square dostarczyło Ledger Donjon dotknięty luką układ bezpiecznego elementu TROPIC01 do niezależnej oceny. Trezor stwierdził, że nawet gdyby TROPIC01 został przejęty, uzyskanie dostępu do portfela użytkownika, kodu PIN lub środków pozostałoby mało prawdopodobne, ponieważ portfel Safe 7 jest chroniony przez kilka niezależnych mechanizmów bezpieczeństwa, w tym dodatkowy bezpieczny element.

Ujawnienie informacji stanowi rzadki wgląd w to, jak producenci sprzętowych portfeli reagują na słabości bezpieczeństwa na poziomie układów, i podkreśla rosnącą rolę niezależnych badaczy w ocenie i testowaniu sprzętu do przechowywania kryptowalut.

Luka w zabezpieczeniach wykryta podczas niezależnego procesu testowania

Według Trezora luka została zidentyfikowana podczas niezależnej oceny bezpieczeństwa uruchomionej przez Tropic Square po premierze bezpiecznego elementu TROPIC01 na początku 2025 roku.

W styczniu 2026 roku Ledger Donjon poinformował Tropic Square, że na układzie przeprowadzono z powodzeniem atak z użyciem laserowej iniekcji błędów, umożliwiając badaczom odzyskanie pewnych tajnych danych przechowywanych na urządzeniu oraz ominięcie weryfikacji podpisu oprogramowania układowego w kontrolowanym środowisku laboratoryjnym.

Po przeanalizowaniu wyników Ledger Donjon inżynierowie Tropic Square odkryli kolejną potencjalną ścieżkę eksploatacji, która mogłaby ujawnić dodatkowy sekret przechowywany na układzie, powiązany z operacjami związanymi z kodem PIN.

Firma poinformowała swoich partnerów, w tym Trezor, i zdecydowała się publicznie ujawnić lukę wraz z wynikami badań opracowanymi przez Ledger Donjon.

Trezor informuje, że użytkownicy nie muszą podejmować żadnych działań

Trezor poinformował, że po tym ujawnieniu użytkownicy nie muszą podejmować żadnych działań, zaznaczając, że środki przechowywane na urządzeniu pozostają bezpieczne, ponieważ samo przejęcie układu TROPIC01 nie wystarczy do uzyskania dostępu do portfela, kodu PIN ani środków użytkownika.

Ponieważ luka tkwi w samym sprzęcie, nie można jej usunąć za pomocą zdalnej aktualizacji oprogramowania układowego.

„Ponieważ Trezor Safe 7 został zbudowany z wieloma niezależnymi warstwami bezpieczeństwa, luka w TROPIC01 nie naraża środków użytkowników na ryzyko" – powiedział CEO Trezora Matej Žák.

Trezor zauważył, że Ledger Donjon opublikował wcześniej niezależne analizy bezpieczeństwa jego produktów, w tym badanie dotyczące Trezor Safe 3, które przedstawiało atak polegający na fizycznym przechwyceniu w łańcuchu dostaw, odlutowaniu urządzenia i modyfikacji sprzętu, zanim portfel trafił do użytkowników końcowych.

Firma wydała wówczas publiczną odpowiedź i od tego czasu kontynuuje wzmacnianie zabezpieczeń przed podobnymi metodami ataku, dodając, że nie zidentyfikowano żadnych przypadków naruszenia środków użytkowników.

Trezor w celu uzyskania szczegółowych informacji na temat audytów pozostałych dwóch układów używanych w Safe 7, wraz z komponentami znajdującymi się we wcześniejszych wersjach urządzeń, jednak do czasu publikacji nie otrzymano żadnej odpowiedzi.