Trezor, TROPIC01 çipi zafiyeti nedeniyle fonların güvenli olduğunu doğruladı

Trezor, Ledger Donjon’un Safe 7'de kullanılan TROPIC01 çipindeki bir hata bulduktan sonra fonların güvenli olduğunu açıkladı. Trezor ve çip üreticisi Tropic Square, Ledger Donjon — Ledger’ın beyaz şapkalı güvenlik araştırmacıları ekibi — tarafından yapılan bağımsız bir denetimden sonra TROPIC01 güvenli elemanında bir donanım düzeyindeki zafiyet hakkında kamuoyuyla paylaştı. Bulguya rağmen, Trezor Safe 7 donanımlı cüzdanın ve kullanıcı fonlarının güvenli kaldığını belirtti. Bulunanlar: - Ocak 2026’da Ledger Donjon, TROPIC01 çipinde laboratuvar bazlı bir lazer hata enjeksiyonu saldırısı gerçekleştirdi. Takım, kontrollü koşullar altında bazı çip sır verilerini çıkartmayı ve firmware imza kontrollerini atlamayı başardı. - Daha sonra Tropic Square, aynı temel zafiyeti kullanarak PIN ile ilgili çip işlevlerine bağlı başka bir sırın açığa çıkarılabileceğini keşfetti. - Bu zafiyet, Safe 7’nin güvenlik yığınındaki bir parçayı oluşturan TROPIC01 güvenli elemanını etkiliyor ve donanım düzeyinde yer alıyor; bu nedenle standart bir over-the-air firmware güncellemesiyle giderilemez. Kullanıcıların hemen risk altında olmamasının nedeni: - Trezor’un Safe 7 cihazı, katmanlı güvenlik ile tasarlandı. Cihaz, PIN kontrollerini, cihaz kimliğini ve cüzdan oluşturma işlemlerini yönetmek için üç bağımsız bileşeni birleştiriyor — TROPIC01, Infineon’un OPTIGA Trust M ve STM32U5 mikrodenetleyicisi. - Trezor, TROPIC01’in yalnızca kompromaya uğramasının “kullanıcının PIN’ine, cüzdanına veya fonlarına erişim sağlamadığını” belirtti. Trezor CEO’su Matej Žák, çok katmanlı mimarinin fonları güvenli tuttuğunu ve şu anda kullanıcıların herhangi bir eylemde bulunmalarının gerekmediğini vurguladı. - Trezor ve Tropic Square, sorunun bir donanım düzeyindeki problem olmasına rağmen Ledger Donjon’un bulgularını inceledikten sonra kamuoyuyla paylaşmayı tercih etti. Daha geniş bağlam: - Bu açıklama, donanımlı cüzdan alanında şirketler arası güvenlik testlerine nadiren rastlanan bir kamuoyu bakış sunuyor. Ledger Donjon, daha önce Trezor cihazları ve diğer cüzdanlara yönelik fiziksel saldırı vektörleri üzerine araştırma yayınlamıştı. - Daha önceki raporlar, mikrodenetleyicilere bağlı fiziksel saldırı risklerini işaretlemiş ve bazı cüzdanların ESP32 çiplerini kullanmasına dair endişeleri vurgulamıştır; bu da çip düzeyindeki hataların kripto saklama cihazları için hala kritik bir güvenlik endişesi olduğunu göstermektedir. - Tropic Square, TROPIC01’i “açık ve denetlenebilir” bir güvenli eleman olarak tanımlıyor ve araştırmacıların NDAs arka planında kapanmış olabilecek donanımı incelemesine ve test etmesine izin vermek amacıyla tasarlandı. Bu olay, açık testlerin zararlı aktörlerin onları kullanmadan önce zayıflıkları ortaya çıkarabileceğini gösteriyor; aynı zamanda tek çip güvenliğinin bir cihazın genel güvenliği için sadece bir parçası olduğunu da gösteriyor. Kullanıcıların yapması gerekenler: - Trezor’un şu anki rehberi basit: Cihazları resmi kanallardan satın alın, firmware’i güncel tutun, kurtarma ifadelerini çevrimdışı saklayın ve müdahale belirtileri gösteren cüzdanları kullanmayın. - Sorun donanım düzeyinde olduğu için, etkilenen cihazlarda çip zafiyetini ortadan kaldırmak için sadece bir firmware düzeltmesi değil, donanımın değiştirilmesi veya yeniden tasarlanması gerekecektir. Sonuç: TROPIC01 zafiyeti anlamlı bir donanım bulgusudur, ancak Safe 7’nin çok çipli tasarımı nedeniyle Trezor, kullanıcı fonlarının korunduğuna inanmaktadır. Bu durum, donanımlı cüzdan ekosisteminde katmanlı güvenlik ve bağımsız denetimlerin önemini vurgulamaktadır.