Odaily Planet Daily News : L'équipe de recherche sécuritaire Donjon de Ledger a contourné, dans un laboratoire, le système de vérification du micrologiciel du puce TROPIC01 intégrée au Trezor Safe 7 à l'aide d'une attaque par laser. Le fabricant de la puce, Tropic Square, a ensuite découvert une autre voie d'attaque affectant le mécanisme de sécurité MAC-and-Destroy de cette puce. Cette vulnérabilité touche toutes les puces TROPIC01 actuellement produites sur le marché. Trezor a indiqué que la puce TROPIC01 constitue l'une des trois couches de sécurité indépendantes intégrées au Trezor Safe 7, et que les fonds des utilisateurs, les sauvegardes de portefeuille et les clés privées n'y sont pas stockées.
Le mécanisme de stockage cryptographique matériel du puce a entièrement résisté aux tentatives d'extraction de Ledger lors des tests initiaux. Tropic Square a reporté la publication des détails techniques de cette vulnérabilité jusqu'à la sortie, prévue à la fin de 2026, de la version renforcée en silicium de TROPIC01 ; les détails complets devraient être publiés au printemps 2027.
Une mitigation du firmware est actuellement possible via le mode MAINTENANCE du puce. Matej Zak, PDG de Trezor, a déclaré que le PIN, la sauvegarde du portefeuille et les clés des fonds des utilisateurs n'ont jamais été stockées sur une seule puce. (The Block)