Trezor, amiral gemisi Safe 7 cüzdanının içindeki güvenli öğe çipinde bir donanım açığını açıkladı ancak müşteri fonlarının tamamen korunduğunda ısrar etti.
Öne Çıkan Noktalar:
‣ Trezor, Safe 7 donanım cüzdanını çalıştıran TROPIC01 güvenli öğe çipinde bir güvenlik açığını duyurdu. ‣ Ledger'ın Donjon ekibi, kontrollü bir laboratuvarda gerçekleştirilen lazer hata enjeksiyon saldırısı kullanarak açığı ortaya çıkardı. ‣ Açığın sömürülmesi cihazın fiziksel olarak ele geçirilmesini gerektirdiğinden kullanıcı fonları koruma altında kalıyor.
Trezor Safe 7 Çip Açığı Ortaya Çıkarıldı
Zayıflık, kısa süre önce piyasaya sürülen Safe 7’ye yerleştirilen üç bağımsız katmandan biri olan TROPIC01 güvenli öğesinde, harici bir güvenlik denetimi sırasında sits. Uzun süredir Trezor’un rakibi olan şirketin kurum içi güvenlik ekibi Ledger Donjon birimindeki araştırmacılar, son aylarda testleri yürüttü.
Bu mühendisler, tek ve hassas bir lazer darbesiyle çipin ürün yazılımı doğrulamasını bypassed ederek kullanıcının PIN’ini koruyan üç sırdan birini açığa çıkardı ve cüzdanın korumasını üç katmandan iki katmana indirdi.
Çip üreticisi Tropic Square daha sonra, kullanıcının PIN’ini doğrulayan mekanizmayla bağlantılı ikinci bir saldırı yolunu found keşfetti. Şirket, çipin yükseltilmiş bir sürümü kullanıcılara ulaşana kadar tam teknik ayrıntıları açıklamayı ertelemeyi planlıyor. Safe 7, TROPIC01’i ikinci, sertifikalı bir güvenli öğeyle eşleştiriyor, bu nedenle bir saldırganın tohuma ulaşmak için her iki çipi de yenmesi gerekiyor.
Kullanıcı cüzdanları hiçbir zaman ihlal edilmedi.
Also Read: Microsoft Releases New AI Models To Challenge Anthropic's Business Push
Cyvers ve Matej Žák Riski Değerlendiriyor
Blokzincir güvenlik firması Cyvers, fonların güvende kaldığı görüşünü yineleyerek, istismarın cüzdanın fiziksel olarak ele geçirilmesini, tamamen sökülmesini ve nadir laboratuvar ekipmanı kullanımını requires gerektirdiğine dikkat çekti. Firmanın CEO’su Deddy Lavid, sıradan kullanıcıların “oltalama, seed kelime hırsızlığı” ve kör imza atılan işlemler gibi çok daha büyük tehditlerle karşı karşıya olduğunu warned belirtti. Şu ana kadar gerçek dünyada gerçekleşmiş bir saldırı ya da kurcalanmış cihaz tespit edilmedi.
Trezor CEO’su Matej Žák, said bu koordineli açıklamanın daha geniş sektör için bir ölçüt oluşturması gerektiğini ifade etti. Açık denetimini, kamuya açık şekilde doğrulanabilen donanımın kişisel saklamayı daha güvenli hale getirdiğinin bir kanıtı olarak sundu; ancak şirket, alıcılar için herhangi bir geri ödeme planına dair ayrıntıya girmedi.
Bu açıklama, aynı araştırmacıların eski Safe 3 ve Safe 5 modellerindeki ürün yazılımı zayıflıklarını işaret ettiği Mart 2025 olayını takip ediyor. Güvenlik ekipleri ayrıca, önceki Trezor donanımında, eski modellerin çiplerinden seed ifadelerini doğrudan çeken, düşük maliyetli bir yöntem olan voltaj hatası oluşturma saldırılarını demonstrated gösterdi.
Safe 7 gibi soğuk cüzdanlar, Bitcoin (BTC) gibi varlıkları, özel anahtarları internete bağlı tutan sıcak cüzdanlara kıyasla hâlâ çok daha iyi koruyor.
Read Next: Anthropic Opens Claude Mythos To 150 Companies Just A Day After IPO Filing