Trezor heeft een hardwarefout bekendgemaakt in de secure-elementchip in zijn vlaggenschipwallet Safe 7, terwijl het erop aandringt dat klantfondsen volledig beschermd blijven.
Belangrijkste punten:
‣ Trezor maakte een kwetsbaarheid bekend in de TROPIC01 secure-elementchip die de Safe 7-hardwarewallet aandrijft. ‣ Het Donjon-team van Ledger ontdekte de fout via een laser fault injection-aanval in een gecontroleerd laboratorium. ‣ Exploitatie vereist fysieke toegang tot het apparaat, waardoor gebruikersfondsen beschermd blijven.
Trezor Safe 7-chipfout bekendgemaakt
De zwakte sits in het TROPIC01 secure element, een van drie onafhankelijke lagen in de recent gelanceerde Safe 7, en kwam aan het licht tijdens een externe security-audit. Onderzoekers van Ledger's Donjon-unit, het interne securityteam van een langdurige Trezor-concurrent, voerden de tests de afgelopen maanden uit.
Die ingenieurs bypassed de firmwareverificatie van de chip met één precieze laserpuls, waardoor een van de drie geheimen die de pincode van de gebruiker beschermen werd blootgelegd en de bescherming van de wallet werd teruggebracht van drie naar twee lagen.
Chipfabrikant Tropic Square found later een tweede aanvalsvector die verband houdt met het mechanisme dat de pincode van een gebruiker verifieert. Het bedrijf is van plan de volledige technische details achter te houden totdat een verbeterde versie van de chip bij kopers terechtkomt. De Safe 7 combineert TROPIC01 met een tweede, gecertificeerd secure element, zodat een aanvaller nog steeds beide chips moet omzeilen om bij de seed te komen.
Wallets van gebruikers zijn nooit gecompromitteerd.
Ook lezen: Microsoft Releases New AI Models To Challenge Anthropic's Business Push
Cyvers en Matej Žák wegen het risico af
Blockchainbeveiligingsbedrijf Cyvers onderschreef de visie dat fondsen veilig blijven en merkte op dat de exploit requires fysieke toegang tot de wallet, volledige demontage en zeldzame laboratoriumapparatuur vereist. Deddy Lavid, de CEO van het bedrijf, warned dat doorsnee houders met veel grotere dreigingen te maken hebben, zoals „phishing, diefstal van seed phrases” en blind transacties ondertekenen. Er zijn tot nu toe geen aanvallen in de echte wereld of gemanipuleerde apparaten ontdekt.
Trezor-CEO Matej Žák said dat de gecoördineerde openbaarmaking een benchmark zou moeten vormen voor de bredere sector. Hij presenteerde de open audit als bewijs dat openbaar verifieerbare hardware self-custody veiliger maakt, ook al ging het bedrijf niet zover om een restitutieplan voor kopers uit te werken.
De openbaarmaking volgt op een voorval in maart 2025, toen dezelfde onderzoekers firmwarezwaktes aankaartten in de oudere Safe 3- en Safe 5-modellen. Securityteams hebben ook demonstrated voltage glitching op eerdere Trezor-hardware, een goedkope methode waarmee seed phrases rechtstreeks uit de chips van oudere modellen zijn gehaald.
Cold wallets zoals de Safe 7 beschermen activa zoals Bitcoin (BTC) nog steeds veel beter dan hot wallets die privésleutels met het internet verbonden houden.
Lees hierna: Anthropic Opens Claude Mythos To 150 Companies Just A Day After IPO Filing