Trezor подтверждает, что средства в безопасности, несмотря на уязвимость чипа TROPIC01

Trezor заявляет, что средства в безопасности после того, как Ledger Donjon обнаружил уязвимость в чипе TROPIC01, используемом в Safe 7 Trezor и производитель чипов Tropic Square публично раскрыли уязвимость на уровне аппаратного обеспечения в безопасном элементе TROPIC01 после независимого аудита со стороны Ledger Donjon — команды белых хакеров по исследованию безопасности Ledger. Несмотря на это открытие, Trezor утверждает, что аппаратный кошелек Safe 7 и средства пользователей остаются в безопасности. Что было обнаружено: - В январе 2026 года Ledger Donjon провел лабораторную атаку с использованием лазерной инъекции ошибок на чип TROPIC01. Команда смогла извлечь некоторые секреты чипа и обойти проверки цифровой подписи прошивки в контролируемых условиях. - Позже Tropic Square обнаружила дополнительный метод эксплуатации, использующий ту же базовую уязвимость, который может раскрыть еще один секрет, связанный с функциями чипа, относящимися к PIN-коду. - Уязвимость затрагивает сам безопасный элемент TROPIC01 — один из компонентов системы безопасности Safe 7 — и находится на аппаратном уровне, поэтому ее невозможно устранить с помощью стандартного обновления прошивки по воздуху. Почему пользователи не подвергаются немедленному риску: - Аппаратный кошелек Trezor Safe 7 был разработан с многоуровневой системой безопасности. Устройство объединяет три независимых компонента — TROPIC01, OPTIGA Trust M от Infineon и микроконтроллер STM32U5 — для обработки проверок PIN-кода, подлинности устройства и создания кошелька. - Trezor утверждает, что компрометация одного только TROPIC01 «не дает доступа к PIN-коду, кошельку или средствам пользователя». Генеральный директор Trezor Матей Жак подчеркнул, что многоуровневая архитектура обеспечивает безопасность средств, и пользователям не нужно предпринимать никаких действий на данный момент. - Trezor и Tropic Square выбрали публичное раскрытие информации после изучения выводов Ledger Donjon, несмотря на то, что проблема связана с аппаратным уровнем. Более широкий контекст: - Это раскрытие предлагает редкий публичный взгляд на межкомпанийное тестирование безопасности в сфере аппаратных кошельков. Ledger Donjon ранее публиковал исследования по физическим векторам атак на устройства Trezor и другие кошельки. - Ранее сообщалось о рисках физических атак, связанных с микроконтроллерами, и выражались опасения по поводу некоторых кошельков, использующих чипы ESP32, что подчеркивает, что уязвимости на уровне чипов остаются критической проблемой безопасности для устройств хранения криптовалют. - Tropic Square позиционирует TROPIC01 как «открытый и проверяемый» безопасный элемент, предназначенный для того, чтобы исследователи могли изучать и тестировать оборудование, которое иначе было бы закрыто NDA. Этот случай демонстрирует ценность открытого тестирования — оно позволяет выявить слабости до того, как злонамеренные акторы смогут их эксплуатировать, — а также показывает, что безопасность на основе одного чипа — лишь одна из составляющих общей защищенности устройства. Что должны делать пользователи: - Текущие рекомендации Trezor просты: покупайте устройства только через официальные каналы, поддерживайте прошивку в актуальном состоянии, храните восстановительные фразы оффлайн и избегайте использования кошельков с признаками вмешательства. - Поскольку проблема связана с аппаратным уровнем, для устранения уязвимости чипа потребуется замена или переосмысление оборудования — простого обновления прошивки недостаточно. Итог: Уязвимость TROPIC01 — значимое аппаратное открытие, но многочиповая архитектура Safe 7 означает, что Trezor считает средства пользователей защищенными. Этот случай подчеркивает важность многоуровневой безопасности и независимых аудитов в экосистеме аппаратных кошельков.