Trezor ujawnił lukę w swoim flagowym portfelu sprzętowym Safe 7, ale zapewnia, że środki użytkowników „pozostają chronione” ze względu na charakter exploita.
Luka została odkryta podczas niezależnego audytu bezpieczeństwa przeprowadzonego przez zespół Ledger Donjon, który zgłosił udany „atak wstrzykiwania błędu laserem” (laser fault injection attack) na układ Secure Element TROPIC01. Umożliwia on atakującemu wydobycie jednego z trzech „sekretów” chroniących kod PIN użytkownika, skutecznie redukując trzy warstwy ochrony do dwóch.
Tropic Square disclosed a vulnerability in the TROPIC01 Secure Element chip used in Trezor Safe 7. It has been identified based on findings from the Ledger Donjon team's independent audit.
Important: Your funds remain safe and secure. Trezor Safe 7 has not been hacked, and you…
— Trezor (@Trezor) June 3, 2026
„Luka dotyczy wyłącznie układu Secure Element TROPIC01, jednej z trzech fizycznych, niezależnych warstw bezpieczeństwa. Samo skompromitowanie TROPIC01 nie wystarczy, aby uzyskać dostęp do kodu PIN, który jest ostateczną warstwą ochrony Twoich środków” – stwierdza blog Trezora. „Nie może to również skutkować zmodyfikowanymi urządzeniami Trezor Safe 7 z trwałym złośliwym oprogramowaniem układowym”.
Warto zauważyć, że Trezor podaje, iż taki atak wymaga fizycznego posiadania portfela sprzętowego, rozebrania go przez atakującego oraz użycia specjalistycznego sprzętu laboratoryjnego. W związku z tym Trezor nadal nazywa układ TROPIC01 „skuteczną barierą” ochronną, która „wymaga znacznego czasu i wysiłku do wykorzystania”, dodając, że „środki użytkowników pozostają bezpieczne”.
Firma Cyvers zajmująca się bezpieczeństwem blockchain podzieliła ocenę Trezora, że środki użytkowników są „bezpieczne”, mówiąc Decrypt, że atak wydaje się „wysoce niepraktyczny”.
Portfele sprzętowe, znane również jako portfele „zimne”, przechowują klucze prywatne offline na fizycznym urządzeniu. Jest to w przeciwieństwie do portfeli gorących, takich jak MetaMask, które przechowują klucze użytkownika w lokalnie zainstalowanym oprogramowaniu lub na serwerach w chmurze. W przypadku portfela Trezor Safe 7, post na blogu mówi, że klucze użytkownika na szczęście nie są przechowywane w układzie TROPIC01.
Niestety, ze względu na sprzętowy charakter luki, exploita nie można załatać aktualizacją oprogramowania układowego. Trezor nie odpowiedział natychmiast na prośbę Decrypt o komentarz w sprawie tego, czy przyjmie wnioski o zwrot pieniędzy od klientów.
„Bezpieczeństwo portfeli sprzętowych nie powinno być oceniane wyłącznie przez to, czy układ scalony może zostać ostatecznie zaatakowany w laboratorium” – powiedział Decrypt Deddy Lavid, CEO firmy Cyvers. „Dla większości użytkowników znacznie większym ryzykiem nadal pozostaje phishing, kradzież frazy seed, złośliwe dApps i podpisywanie transakcji w ciemno, których nie rozumieją w pełni”.
