Trezor și Tropic Square au dezvăluit o vulnerabilitate a cipului TROPIC01 descoperită de Ledger Donjon, dar au declarat că portofelul Trezor Safe 7 și fondurile utilizatorilor rămân sigure.
Vulnerabilitatea a fost descoperită în timpul unui audit independent al cipului Secure Element TROPIC01. Ledger Donjon, echipa de cercetare white-hat a producătorului rival de portofele hardware Ledger, a efectuat revizuirea.
Tropic Square a furnizat cipul către Ledger Donjon pentru testare. Trezor a declarat că vulnerabilitatea afectează unul dintre cele trei straturi de securitate independente din portofelul Safe 7.
Conform dezvăluirii, Ledger Donjon a informat Tropic Square în ianuarie 2026 că a efectuat un atac de injecție de erori cu laser în condiții de laborator. Atacul a permis cercetătorilor să extragă unele secrete ale cipului și să ocolească verificările de semnătură ale firmware-ului.
Tropic Square a găsit ulterior o altă modalitate de a folosi aceeași slăbiciune. Această metodă ar putea expune un alt secret legat de funcțiile cipului referitoare la PIN.
Trezor a declarat că utilizatorii nu trebuie să ia măsuri. Compania a precizat că un compromis al TROPIC01, singur, nu oferă acces la PIN-ul, portofelul sau fondurile unui utilizator.
„Deoarece Trezor Safe 7 a fost construit cu multiple straturi de securitate independente, o vulnerabilitate în TROPIC01 nu pune în pericol fondurile utilizatorilor”, a declarat Matej Žák, CEO Trezor.
Problema se află la nivel hardware, astfel că nu poate fi remediată printr-o actualizare normală de firmware la distanță. Trezor și Tropic Square au ales totuși dezvăluirea publică după revizuirea constatărilor Ledger Donjon.
Safe 7 utilizează TROPIC01 împreună cu alte două cipuri. Designul său combină TROPIC01, OPTIGA Trust M și STM32U5 pentru a proteja verificările PIN, autenticitatea dispozitivului și crearea portofelului.
Dezvăluirea oferă o perspectivă publică rară asupra testării de securitate a rivalilor pe piața portofelelor hardware. Ledger Donjon a revizuit anterior dispozitive Trezor și a publicat cercetări privind rutele de atac fizic.
Așa cum a fost raportat anterior de crypto.news, Ledger Donjon a declarat anterior că dispozitivele Trezor Safe se confruntau încă cu riscuri de atac fizic legate de utilizarea microcontrolerelor. Trezor a declarat la acea vreme că fondurile utilizatorilor au rămas în siguranță atunci când dispozitivele proveneau din surse oficiale.
O altă acoperire a crypto.news a avertizat, de asemenea, că unele portofele hardware care utilizează cipuri ESP32 se confruntau cu riscuri de furt al cheilor private. Acest raport a arătat că vulnerabilitățile la nivel de cip rămân o preocupare cheie de securitate pentru dispozitivele de custodie crypto.
Tropic Square comercializează TROPIC01 ca un element de securitate deschis și auditabil. Compania afirmă că cipul permite cercetătorilor să inspecteze și să testeze hardware-ul care ar rămâne adesea închis sub clauze de confidențialitate.
Noua vulnerabilitate arată că testarea deschisă poate dezvălui slăciuni înainte ca atacatorii să o facă. De asemenea, arată că securitatea portofelelor hardware depinde de designul complet al dispozitivului, nu doar de un singur cip.
Pentru utilizatori, principalele îndrumări rămân simple. Aceștia ar trebui să cumpere dispozitive din canale oficiale, să mențină firmware-ul actualizat, să protejeze frazele de recuperare offline și să evite utilizarea oricărui portofel care prezintă semne de alterare.
