Компания по производству аппаратных кошельков Trezor и производитель чипов Tropic Square сообщили об обнаруженной уязвимости в одном из защищенных элементов, используемых в аппаратном кошельке Trezor Safe 7, заявив, что эта уязвимость не ставит под угрозу средства пользователей, поскольку сам по себе чип не может скомпрометировать кошелек.
Уязвимость была выявлена в ходе независимого аудита безопасности, проведенного Ledger Donjon, командой по исследованию безопасности конкурирующего производителя аппаратных кошельков Ledger, согласно заявлению Trezor.
Tropic Square предоставила уязвимый чип TROPIC01 Secure Element команде Ledger Donjon для независимого аудита. Компании заявили, что компрометация только TROPIC01 не позволит получить доступ к кошельку, PIN-коду или средствам пользователя.
Данное раскрытие предоставляет редкий публичный обзор того, как производители аппаратных кошельков реагируют на уязвимости безопасности чипов на уровне и подчеркивает растущую роль независимых исследователей в тестировании устройств для хранения криптовалют.
Уязвимость выявлена в ходе независимого тестирования безопасности
По данным Trezor, уязвимость была обнаружена в ходе независимого обзора безопасности, инициированного Tropic Square после запуска защищенного элемента TROPIC01 в начале 2025 года.
Ledger Donjon сообщила Tropic Square в январе 2026 года, что успешно провела атаку с использованием лазерного повреждения чипа, что позволило исследователям извлечь некоторые хранящиеся на чипе секреты и обойти проверку подписи прошивки в лабораторных условиях.
TROPIC01 является одним из двух защищенных элементов в Trezor Safe 7, запущенном в октябре 2025 года. Источник: SatoshiLabs
После изучения результатов Ledger Donjon, инженеры Tropic Square выявили дополнительный способ использования слабости, который может раскрыть другой секрет, хранящийся на чипе и связанный с функциями, связанными с PIN-кодом.
Компания уведомила своих партнеров, включая Trezor, и решила публично раскрыть уязвимость вместе с исследованием Donjon.
_ Связанные материалы:_ _ Утверждение о небезопасности всех DeFi спровоцировало дебаты о безопасности ИИ после всплеска взломов в апреле_
Trezor заявляет, что пользователям не нужно предпринимать никаких действий
Trezor заявила, что пользователям не нужно предпринимать никаких действий после раскрытия информации, добавив, что уязвимость не влияет на средства, хранящиеся на устройстве, поскольку компрометация только TROPIC01 недостаточно для доступа к кошельку, PIN-коду или средствам.
Поскольку проблема существует на аппаратном уровне, ее нельзя исправить с помощью удаленного обновления прошивки.
“Поскольку Trezor Safe 7 был построен с использованием нескольких независимых уровней безопасности, уязвимость TROPIC01 не ставит под угрозу средства пользователей”, - заявил генеральный директор Trezor Matej Žák.
Источник: Trezor
Trezor отметила, что команда Ledger’s Donjon ранее публиковала независимые исследования безопасности своих устройств, включая отчет о Trezor Safe 3, который продемонстрировал атаку, включающую перехват, выпаивание и модификацию устройства в стиле цепочки поставок до того, как оно достигнет пользователей.
Компания отреагировала публично в то время и продолжала укреплять защиту от таких векторов атак, добавив, что ей не известно о каких-либо скомпрометированных средствах пользователей.
“Ни одно исследование Donjon не выявило уязвимость в защищенном элементе Optiga, а STM32U5, используемый в Safe 7, является более новым микроконтроллером, против которого не было продемонстрировано атак с использованием повреждений”, - сообщил представитель Trezor Cointelegraph.
Cointelegraph обратился к Ledger Donjon за аудитами других защищенных элементов, используемых в аппаратных кошельках Trezor, но не получил ответа к моменту публикации.
_ Журнал:_ _ Правовая битва за то, кто может претендовать на украденные миллионы DeFi_ »
