Trezor uspokaja po wykryciu luki
Ledger wykrył lukę w chipie TROPIC01, ale Trezor zapewnia, że środki użytkowników Safe 7 są bezpieczne.
Pojawiły się informacje o luce bezpieczeństwa w układzie TROPIC01 wykorzystywanym w portfelach sprzętowych Trezor Safe 7. Producent zapewnia jednak, że podatność nie zagraża środkom użytkowników, a sam portfel pozostaje bezpieczny dzięki kilku niezależnym warstwom ochrony.
Problem wykrył Ledger Donjon, zespół badaczy bezpieczeństwa należący do producenta portfeli Ledger. Audyt układu TROPIC01 przeprowadzono na zlecenie firmy Tropic Square, która odpowiada za jego rozwój.
Według ujawnionych informacji badacze już w styczniu 2026 roku poinformowali Tropic Square o skutecznym przeprowadzeniu ataku metodą laserowej iniekcji błędów w warunkach laboratoryjnych. Pozwoliło to na pozyskanie części danych zapisanych w chipie oraz obejście mechanizmu weryfikacji podpisów firmware'u.
Później Tropic Square odkryło dodatkowy sposób wykorzystania tej samej słabości. W określonych warunkach mogłoby to prowadzić do ujawnienia kolejnych danych związanych z funkcjami obsługującymi kod PIN.
Mimo wykrytej podatności Trezor podkreśla, że użytkownicy nie muszą podejmować żadnych działań. Firma twierdzi, że przełamanie zabezpieczeń samego układu TROPIC01 nie daje dostępu do kodu PIN, portfela ani przechowywanych środków.
Jak wyjaśnia prezes Trezora Matej Žák, Safe 7 został zaprojektowany z wykorzystaniem kilku niezależnych warstw zabezpieczeń. Oznacza to, że pojedyncza luka w jednym z komponentów nie stanowi zagrożenia dla funduszy użytkowników.
Problem dotyczy warstwy sprzętowej, dlatego nie może zostać usunięty za pomocą standardowej aktualizacji oprogramowania. Mimo to Trezor i Tropic Square zdecydowały się publicznie ujawnić szczegóły po analizie wyników badań.
Safe 7 wykorzystuje trzy układy odpowiedzialne za bezpieczeństwo urządzenia: TROPIC01, OPTIGA Trust M oraz STM32U5. Odpowiadają one za weryfikację kodu PIN, potwierdzanie autentyczności urządzenia oraz tworzenie portfela.
Ujawnienie podatności pokazuje, że producenci portfeli sprzętowych nadal intensywnie testują swoje rozwiązania. Ledger Donjon już wcześniej analizował urządzenia Trezora i publikował badania dotyczące możliwych metod fizycznego ataku na tego typu sprzęt.
Tropic Square promuje TROPIC01 jako otwarty układ bezpieczeństwa, który może być niezależnie audytowany przez badaczy. Najnowsze odkrycie pokazuje, że takie podejście pozwala wykrywać potencjalne słabości, zanim zostaną wykorzystane przez osoby o nieuczciwych zamiarach.
Trezor przypomina jednocześnie, że użytkownicy powinni kupować urządzenia wyłącznie z oficjalnych źródeł, regularnie aktualizować oprogramowanie, przechowywać frazy odzyskiwania poza siecią oraz unikać korzystania z urządzeń noszących ślady ingerencji.
Obserwuj nas na:
