„Trezor“ ir „Tropic Square“ atskleidė „Ledger Donjon“ aptiktą TROPIC01 lusto trūkumą, tačiau teigė, kad „Trezor Safe 7“ piniginė ir vartotojo lėšos išlieka saugios.
Santrauka
- Trezor teigia, kad „Safe 7“ naudotojo lėšos išlieka saugios, nes trys aparatinės įrangos sluoksniai apsaugo prieigą prie piniginės.
- Ledger Donjon nustatė TROPIC01 trūkumą laboratorinių tyrimų metu, naudojant lazerio gedimo įpurškimo metodus.
- Tropic Square viešai atskleidė trūkumą ir pasakė, kad dėl lusto problemos reikia fizinės prieigos prie laboratorijos.
Pažeidžiamumas buvo rastas atliekant nepriklausomą TROPIC01 Secure Element lusto auditą. Ledgeris Donjonas, konkuruojančios aparatinės įrangos piniginių gamintojo „Ledger“ baltų skrybėlių tyrimų grupė, atliko peržiūrą.
Tropic Square atidavė lustą Ledger Donjon išbandyti. Trezoras teigė, kad trūkumas paveikia vieną iš trijų nepriklausomų saugumo sluoksnių „Safe 7“ piniginėje.
Remiantis atskleidimu, Ledgeris Donjonas 2026 m. sausio mėn. sakė „Tropic Square“, kad laboratorijos sąlygomis jis atliko lazerio gedimo injekciją. Ataka leido tyrėjams išgauti kai kurias lustų paslaptis ir apeiti programinės įrangos parašo patikrinimus.
Tropic Square vėliau rado kitą būdą panaudoti tą pačią silpnybę. Šis metodas gali atskleisti kitą paslaptį, susijusią su PIN kodo lusto funkcijomis.
Trezor sako, kad lėšos išlieka apsaugotos
Trezor sakė, kad vartotojams nereikia imtis veiksmų. Bendrovė teigė, kad vien TROPIC01 kompromisas nesuteikia prieigos prie vartotojo PIN kodo, piniginės ar lėšų.
„Kadangi „Trezor Safe 7“ buvo sukurtas naudojant kelis nepriklausomus saugos sluoksnius, TROPIC01 pažeidžiamumas nekelia pavojaus vartotojų lėšoms“, – sakė „Trezor“ generalinis direktorius Matej Žák.
Problema kyla aparatinės įrangos lygiu, todėl jos negalima išspręsti naudojant įprastą nuotolinį programinės įrangos atnaujinimą. „Trezor“ ir „Tropic Square“ vis tiek pasirinko viešą atskleidimą, peržiūrėję Ledger Donjon išvadas.
„Safe 7“ naudoja TROPIC01 su dviem kitais lustais. Jo dizainas sujungia TROPIC01, OPTIGA Trust M ir STM32U5, kad apsaugotų PIN patikrinimus, įrenginio autentiškumą ir piniginės kūrimą.
Aparatinės įrangos piniginės auditas išlieka dėmesio centre
Atskleidimas suteikia retą viešą vaizdą apie konkurentų saugumo testavimą aparatinės įrangos piniginės rinkoje. Ledger Donjon anksčiau peržiūrėjo „Trezor“ įrenginius ir paskelbė fizinių atakų maršrutų tyrimus.
Kaip anksčiau pranešė crypto.news, Ledgeris Donjonas anksčiau teigė, kad „Trezor Safe“ įrenginiai vis dar susiduria su fizinių atakų rizika, susijusia su mikrovaldiklio naudojimu. Trezoras tuo metu teigė, kad naudotojų lėšos buvo saugios, kai įrenginiai buvo gauti iš oficialių šaltinių.
Atskiras crypto.news reportažas taip pat perspėjo, kad kai kurios aparatinės įrangos piniginės, naudojančios ESP32 lustus, susiduria su privačiojo rakto vagystės rizika. Ši ataskaita parodė, kad lusto lygio trūkumai išlieka pagrindine kriptovaliutų saugojimo įrenginių saugumo problema.
Atviro saugumo modelio laukia tikri išbandymai
Tropic Square parduoda TROPIC01 kaip atvirą ir tikrinamą saugų elementą. Bendrovė teigia, kad lustas leidžia tyrėjams apžiūrėti ir išbandyti aparatinę įrangą, kuri dažnai liktų uždaryta pagal neatskleidimo sąlygas.
Naujas trūkumas rodo, kad atviras testavimas gali atskleisti trūkumus anksčiau nei tai padarys užpuolikai. Tai taip pat rodo, kad aparatinės įrangos piniginės saugumas priklauso nuo viso įrenginio dizaino, o ne nuo vieno lusto.
Vartotojams pagrindinės instrukcijos išlieka paprastos. Jie turėtų pirkti įrenginius iš oficialių kanalų, nuolat atnaujinti programinę-aparatinę įrangą, apsaugoti atkūrimo frazes neprisijungę ir vengti naudoti bet kokią piniginę, kurioje yra klastojimo požymių.
