Trezor heeft een hardwarefout onthuld in de secure‑elementchip in zijn vlaggenschipwallet Safe 7, terwijl het erop blijft staan dat klantfondsen volledig beschermd blijven.
Belangrijkste punten:
‣ Trezor maakte een kwetsbaarheid bekend in de TROPIC01‑secure‑elementchip die de Safe 7‑hardwarewallet aandrijft. ‣ Het Donjon‑team van Ledger ontdekte de fout via een laser fault injection‑aanval die werd uitgevoerd in een gecontroleerd laboratorium. ‣ Misbruik vereist fysieke toegang tot het apparaat, waardoor gebruikersfondsen beschermd blijven.
Trezor Safe 7‑chipfout bekendgemaakt
De zwakke plek sits in het TROPIC01‑secure element, een van drie onafhankelijke lagen in de onlangs gelanceerde Safe 7, en kwam aan het licht tijdens een externe beveiligingsaudit. Onderzoekers van de Donjon‑afdeling van Ledger, het interne beveiligingsteam van een langdurige Trezor‑concurrent, voerden de tests de afgelopen maanden uit.
Die ingenieurs bypassed de firmware‑verificatie van de chip met één nauwkeurige laserpuls, waardoor één van de drie geheimen werd blootgelegd die de pincode van de gebruiker beschermen en de beveiliging van de wallet werd teruggebracht van drie lagen naar twee.
Chipfabrikant Tropic Square found later een tweede aanvalsvector die verband houdt met het mechanisme dat de pincode van een gebruiker verifieert. Het bedrijf is van plan de volledige technische details achter te houden totdat een verbeterde versie van de chip bij kopers terechtkomt. De Safe 7 koppelt TROPIC01 aan een tweede, gecertificeerd secure element, zodat een aanvaller nog steeds beide chips moet omzeilen om de seed te bereiken.
Gebruikerswallets zijn nooit gecompromitteerd.
Ook lezen: Microsoft Releases New AI Models To Challenge Anthropic's Business Push
Cyvers en Matej Žák wegen het risico
Blockchainbeveiligingsbedrijf Cyvers onderschreef de visie dat fondsen veilig blijven en merkte op dat de exploit requires fysieke toegang tot de wallet, volledige demontage en zeldzame laboratoriumapparatuur vereist. Deddy Lavid, de CEO van het bedrijf, warned dat dagelijkse houders met veel grotere dreigingen worden geconfronteerd, zoals „phishing, diefstal van seed phrases” en het blind ondertekenen van transacties. Er zijn tot nu toe geen aanvallen in de echte wereld of gemanipuleerde apparaten opgedoken.
Trezor‑CEO Matej Žák said dat de gecoördineerde openbaarmaking een maatstaf zou moeten vormen voor de bredere sector. Hij presenteerde de open audit als bewijs dat publiek verifieerbare hardware zelf‑custody veiliger maakt, ook al ging het bedrijf niet zo ver om een terugbetalingsplan voor kopers te schetsen.
De openbaarmaking volgt op een episode in maart 2025, toen dezelfde onderzoekers firmware‑zwakheden aanmeldden in de oudere Safe 3‑ en Safe 5‑modellen. Beveiligingsteams hebben ook demonstrated voltage glitching op eerdere Trezor‑hardware, een goedkope methode waarmee seed phrases rechtstreeks uit de chips van oudere modellen konden worden gehaald.
Cold wallets zoals de Safe 7 beveiligen activa zoals Bitcoin (BTC) nog steeds veel beter dan hot wallets die privésleutels verbonden houden met het internet.
Lees ook: Anthropic Opens Claude Mythos To 150 Companies Just A Day After IPO Filing