Trezor i Tropic Square ujawniły lukę w chipie TROPIC01 znalezioną przez Ledger Donjon, ale zapewniły, że portfel Trezor Safe 7 i środki użytkowników pozostają bezpieczne.
Luka została odkryta podczas niezależnego audytu chipa TROPIC01 Secure Element. Przeglądu dokonał Ledger Donjon, zespół badawczy „white-hat” konkurencyjnego producenta portfeli sprzętowych, firmy Ledger.
Tropic Square przekazało chip Ledger Donjon do testów. Trezor oświadczył, że luka dotyczy jednej z trzech niezależnych warstw bezpieczeństwa w portfelu Safe 7.
Zgodnie z ujawnieniem, Ledger Donjon poinformował Tropic Square w styczniu 2026 roku, że przeprowadził atak laserowego wstrzykiwania błędów w warunkach laboratoryjnych. Atak umożliwił badaczom wydobycie niektórych tajemnic chipa i ominięcie weryfikacji sygnatur firmware'u.
Tropic Square później odkryło inny sposób wykorzystania tej samej słabości. Ta metoda mogłaby ujawnić kolejny sekret związany z funkcjami chipa dotyczącymi kodu PIN.
Trezor oświadczył, że użytkownicy nie muszą podejmować żadnych działań. Firma podała, że samo naruszenie TROPIC01 nie daje dostępu do kodu PIN użytkownika, portfela ani środków.
„Ponieważ Trezor Safe 7 został zbudowany z wieloma niezależnymi warstwami bezpieczeństwa, luka w TROPIC01 nie naraża środków użytkowników na ryzyko” – powiedział Matej Žák, CEO Trezora.
Problem leży na poziomie sprzętowym, więc nie można go naprawić poprzez zwykłą zdalną aktualizację oprogramowania układowego. Trezor i Tropic Square zdecydowały się jednak na publiczne ujawnienie po przeanalizowaniu ustaleń Ledger Donjon.
Safe 7 wykorzystuje TROPIC01 wraz z dwoma innymi chipami. Jego konstrukcja łączy TROPIC01, OPTIGA Trust M i STM32U5 w celu ochrony weryfikacji PIN, autentyczności urządzenia i tworzenia portfela.
Ujawnienie to rzadki publiczny wgląd w testy bezpieczeństwa prowadzone przez konkurentów na rynku portfeli sprzętowych. Ledger Donjon wcześniej sprawdzał urządzenia Trezor i publikował badania dotyczące fizycznych dróg ataków.
Jak wcześniej informował crypto.news, Ledger Donjon wcześniej stwierdził, że urządzenia Trezor Safe nadal są narażone na ryzyko fizycznych ataków związanych z użyciem mikrokontrolerów. Trezor oświadczył wówczas, że środki użytkowników pozostają bezpieczne, gdy urządzenia pochodzą z oficjalnych źródeł.
Oddzielne doniesienia crypto.news ostrzegały również, że niektóre portfele sprzętowe używające chipów ESP32 były narażone na ryzyko kradzieży kluczy prywatnych. Ten raport pokazał, że luki na poziomie chipa pozostają kluczowym problemem bezpieczeństwa dla urządzeń do przechowywania kryptowalut.
Tropic Square promuje TROPIC01 jako otwarty i podlegający audytowi bezpieczny element. Firma twierdzi, że chip umożliwia badaczom inspekcję i testowanie sprzętu, który często pozostawałby zamknięty na mocy umów o zachowaniu poufności.
Nowa luka pokazuje, że otwarte testowanie może ujawnić słabości, zanim zrobią to atakujący. Pokazuje również, że bezpieczeństwo portfela sprzętowego zależy od pełnego projektu urządzenia, a nie tylko od jednego chipa.
Dla użytkowników główne wytyczne pozostają proste. Powinni kupować urządzenia z oficjalnych kanałów, aktualizować oprogramowanie układowe, chronić frazy odzyskiwania w trybie offline i unikać używania portfeli wykazujących oznaki manipulacji.
