Trezor divulgou uma falha de hardware no chip de elemento seguro dentro de sua carteira principal Safe 7, afirmando, porém, que os fundos dos clientes continuam totalmente protegidos.
Pontos-chave:
‣ A Trezor divulgou uma vulnerabilidade no chip de elemento seguro TROPIC01 que alimenta sua carteira de hardware Safe 7. ‣ A equipe Donjon da Ledger descobriu a falha usando um ataque de injeção de falha a laser realizado em um laboratório controlado. ‣ Explorá-la exige posse física do dispositivo, de modo que os fundos dos usuários permanecem protegidos.
Falha no chip da Trezor Safe 7 divulgada
A fraqueza sits no elemento seguro TROPIC01, uma das três camadas independentes incorporadas à recém-lançada Safe 7, e surgiu durante uma auditoria de segurança externa. Pesquisadores da unidade Donjon da Ledger, a equipe interna de segurança de uma concorrente de longa data da Trezor, realizaram os testes nos últimos meses.
Esses engenheiros bypassed a verificação de firmware do chip com um único disparo de laser preciso, expondo um dos três segredos que protegem o PIN do usuário e reduzindo a proteção da carteira de três camadas para duas.
A fabricante do chip Tropic Square posteriormente found uma segunda rota de ataque ligada ao mecanismo que verifica o PIN do usuário. A empresa planeja reter os detalhes técnicos completos até que uma versão atualizada do chip chegue aos compradores. A Safe 7 combina o TROPIC01 com um segundo elemento seguro certificado, de modo que um invasor ainda teria de derrotar ambos os chips para alcançar a seed.
As carteiras dos usuários nunca foram violadas.
Veja também: Microsoft Releases New AI Models To Challenge Anthropic's Business Push
Cyvers e Matej Žák avaliam o risco
A empresa de segurança em blockchain Cyvers reforçou a visão de que os fundos permanecem seguros, observando que o exploit requires posse física da carteira, desmontagem completa e equipamentos de laboratório raros. Deddy Lavid, diretor‑executivo da empresa, warned que os detentores comuns enfrentam ameaças muito maiores, citando “phishing, roubo de frase‑semente” e assinatura cega de transações. Até o momento, nenhum ataque no mundo real ou dispositivo adulterado veio à tona.
O diretor‑executivo da Trezor, Matej Žák, said que a divulgação coordenada deve estabelecer um novo padrão para todo o setor. Ele apresentou a auditoria aberta como evidência de que hardware publicamente verificável torna a autocustódia mais segura, embora a empresa não tenha detalhado nenhum plano de reembolso para os compradores.
A divulgação segue um episódio de março de 2025, quando os mesmos pesquisadores apontaram fragilidades de firmware nos modelos mais antigos Safe 3 e Safe 5. Equipes de segurança também já demonstrated ataques de “voltage glitching” em hardwares Trezor anteriores, um método de baixo custo que extraía frases‑semente diretamente dos chips de modelos antigos.
Carteiras frias como a Safe 7 ainda protegem ativos como Bitcoin (BTC) muito melhor do que carteiras quentes que mantêm chaves privadas conectadas à internet.
Leia a seguir: Anthropic Opens Claude Mythos To 150 Companies Just A Day After IPO Filing