Trezor hat einen Hardwarefehler im Secure-Element-Chip seiner Flaggschiff‑Wallet Safe 7 offengelegt und zugleich betont, dass Kundengelder vollständig geschützt bleiben.
Wichtigste Punkte:
‣ Trezor hat eine Schwachstelle im Secure-Element-Chip TROPIC01 offengelegt, der die Safe‑7‑Hardware‑Wallet antreibt. ‣ Ledgers Donjon‑Team deckte den Fehler mithilfe eines Laser‑Fault‑Injection‑Angriffs in einem kontrollierten Labor auf. ‣ Die Ausnutzung erfordert physischen Besitz des Geräts, daher bleiben die Gelder der Nutzer geschützt.
Trezor Safe 7 Chipfehler offengelegt
Die Schwachstelle liegt im Secure Element TROPIC01, einer von drei unabhängigen Sicherheitsschichten des kürzlich eingeführten Safe 7, und wurde im Rahmen eines externen Sicherheitsaudits entdeckt. Forscher der Donjon‑Einheit von Ledger, dem internen Sicherheitsteam eines langjährigen Trezor‑Wettbewerbers, führten die Tests in den vergangenen Monaten durch.
Diese Ingenieure umgingen die Firmware‑Verifikation des Chips mit einem einzigen präzisen Laserimpuls, legten dabei eines von drei Geheimnissen offen, die die PIN des Nutzers schützen, und reduzierten den Schutz der Wallet von drei auf zwei Schichten.
Der Chiphersteller Tropic Square identifizierte später einen zweiten Angriffsweg, der mit dem Mechanismus zur Verifizierung der Nutzer‑PIN zusammenhängt. Das Unternehmen will die vollständigen technischen Details zurückhalten, bis eine verbesserte Version des Chips bei Käufern ankommt. Der Safe 7 kombiniert TROPIC01 mit einem zweiten, zertifizierten Secure Element, sodass ein Angreifer weiterhin beide Chips überwinden müsste, um den Seed zu erreichen.
Nutzer‑Wallets wurden nie kompromittiert.
Auch lesen: Microsoft Releases New AI Models To Challenge Anthropic's Business Push
Cyvers und Matej Žák bewerten das Risiko
Die Blockchain‑Sicherheitsfirma Cyvers bekräftigte die Einschätzung, dass Gelder sicher bleiben, und merkte an, dass der Exploit physischen Besitz der Wallet, eine vollständige Demontage und seltene Laborausrüstung erfordert. Deddy Lavid, Geschäftsführer des Unternehmens, warnte, dass alltägliche Nutzer wesentlich größeren Bedrohungen ausgesetzt seien, etwa „Phishing, Diebstahl der Seed‑Phrase“ und blindem Signieren von Transaktionen. Bisher sind weder Angriffe in der Praxis noch manipulierte Geräte aufgetaucht.
Trezor‑Chef Matej Žák erklärte, die koordinierte Offenlegung sollte als Maßstab für die gesamte Branche dienen. Er stellte das offene Audit als Beleg dafür dar, dass öffentlich überprüfbare Hardware die Selbstverwahrung sicherer macht, auch wenn das Unternehmen bislang keinen konkreten Erstattungsplan für Käufer genannt hat.
Die Offenlegung folgt auf einen Vorfall im März 2025, als dieselben Forscher Firmware‑Schwächen in den älteren Modellen Safe 3 und Safe 5 meldeten. Sicherheitsteams haben zudem gezeigt, dass sich bei früherer Trezor‑Hardware Spannungs‑Glitching einsetzen lässt – eine kostengünstige Methode, mit der Seed‑Phrasen direkt aus den Chips älterer Modelle ausgelesen wurden.
Cold‑Wallets wie der Safe 7 schützen Vermögenswerte wie Bitcoin (BTC) dennoch wesentlich besser als Hot‑Wallets, bei denen private Schlüssel mit dem Internet verbunden bleiben.
Als Nächstes lesen: Anthropic Opens Claude Mythos To 150 Companies Just A Day After IPO Filing