Trezor telah mengungkap cacat perangkat keras di chip secure element dalam wallet unggulannya, Safe 7, sambil menegaskan bahwa dana pelanggan tetap sepenuhnya terlindungi.
Poin-Poin Utama:
‣ Trezor mengungkap kerentanan di chip secure element TROPIC01 yang menjalankan wallet hardware Safe 7.
‣ Tim Donjon milik Ledger menemukan cacat ini menggunakan serangan laser fault injection di dalam laboratorium terkontrol.
‣ Eksploitasi cacat ini memerlukan kepemilikan fisik perangkat, sehingga dana pengguna tetap terlindungi.
Cacat Chip Trezor Safe 7 Diungkap
Kelemahan tersebut sits di secure element TROPIC01, salah satu dari tiga lapisan independen yang dibangun ke dalam Safe 7 yang baru diluncurkan, dan muncul selama audit keamanan eksternal. Peneliti di unit Donjon milik Ledger, tim keamanan internal dari pesaing lama Trezor, melakukan pengujian selama beberapa bulan terakhir.
Para insinyur tersebut bypassed verifikasi firmware chip dengan satu tembakan laser yang sangat presisi, mengekspos satu dari tiga rahasia yang melindungi PIN pengguna dan memangkas perlindungan wallet dari tiga lapisan menjadi dua.
Pembuat chip Tropic Square kemudian found rute serangan kedua yang terkait dengan mekanisme verifikasi PIN pengguna. Perusahaan berencana menahan detail teknis lengkap sampai versi chip yang telah ditingkatkan sampai ke pembeli. Safe 7 memasangkan TROPIC01 dengan secure element kedua yang tersertifikasi, sehingga penyerang tetap harus menaklukkan kedua chip untuk mencapai seed.
Wallet pengguna tidak pernah dibobol.
Juga Baca: Microsoft Releases New AI Models To Challenge Anthropic's Business Push
Cyvers, Matej Žák Menimbang Risiko
Perusahaan keamanan blockchain Cyvers menggemakan pandangan bahwa dana tetap aman, dengan mencatat bahwa eksploit requires kepemilikan fisik wallet, pembongkaran penuh, dan peralatan laboratorium yang langka. Deddy Lavid, CEO perusahaan, warned bahwa pemegang sehari-hari menghadapi ancaman yang jauh lebih besar, seperti “phishing, pencurian seed phrase” dan penandatanganan transaksi secara buta. Sejauh ini belum ada serangan di dunia nyata atau perangkat yang dipalsukan yang terungkap.
CEO Trezor Matej Žák said bahwa pengungkapan terkoordinasi ini seharusnya menjadi tolok ukur bagi industri yang lebih luas. Ia membingkai audit terbuka sebagai bukti bahwa perangkat keras yang dapat diverifikasi secara publik membuat self-custody lebih aman, meski perusahaan belum merinci rencana pengembalian dana bagi pembeli.
Pengungkapan ini mengikuti insiden pada Maret 2025, ketika peneliti yang sama menandai kelemahan firmware pada model Safe 3 dan Safe 5 yang lebih lama. Tim keamanan juga telah demonstrated voltage glitching pada perangkat keras Trezor generasi sebelumnya, metode berbiaya rendah yang menarik seed phrase langsung dari chip model lama.
Cold wallet seperti Safe 7 masih melindungi aset seperti Bitcoin (BTC) jauh lebih baik dibandingkan hot wallet yang menyimpan private key tetap terhubung ke internet.
Baca Selanjutnya: Anthropic Opens Claude Mythos To 150 Companies Just A Day After IPO Filing