The flaw in the Secure Element
The vulnerability was uncovered by Ledger Donjon, the internal security research team of Trezor's rival Ledger. It affects the TROPIC01 chip, a dedicated secure processor designed to protect private keys and sensitive operations. The audit did not specify whether the vulnerability could be exploited remotely or required physical access, but Trezor has acknowledged the finding.
Translation:الثغرة في العنصر الآمن
تم اكتشاف الثغرة بواسطة Ledger Donjon، فريق أبحاث الأمن الداخلي التابع لمنافس Trezor، شركة Ledger. وتؤثر هذه الثغرة على شريحة TROPIC01، وهي معالج آمن مخصص لحماية المفاتيح الخاصة والعمليات الحساسة. لم يحدد التدقيق ما إذا كان يمكن استغلال الثغرة عن بُعد أم أنها تتطلب وصولًا ماديًا، لكن Trezor أقرت بالاكتشاف.
Note: "rival Ledger" - Trezor's rival is Ledger. So "منافس Trezor، شركة Ledger".Secure elements are a standard component in hardware wallets, meant to provide an extra layer of protection against tampering and side-channel attacks. A weakness in this component could theoretically allow an attacker to extract keys or bypass security checks. Trezor has not released details on the exact nature of the flaw, referring instead to the ongoing audit process.
Translation: العناصر الآمنة هي مكون قياسي في محافظ الأجهزة، تهدف إلى توفير طبقة إضافية من الحماية ضد العبث وهجمات القنوات الجانبية. قد يسمح أي ضعف في هذا المكون نظريًا للمهاجم باستخراج المفاتيح أو تجاوز فحوصات الأمان. لم تنشر Trezor تفاصيل عن الطبيعة الدقيقة للثغرة، وأحالت بدلاً من ذلك إلى عملية التدقيق الجارية.Trezor's response
In a statement following the disclosure, Trezor said user funds are 'safe.' The company did not announce a recall, a firmware patch, or any immediate action for customers. The assurance suggests that the vulnerability does not expose active wallets to theft under normal conditions, or that the attack requires conditions that are difficult to meet in practice.
Translation:رد Trezor
في بيان بعد الكشف، قالت Trezor إن أموال المستخدمين "آمنة". لم تعلن الشركة عن استدعاء أو تصحيح برمجي أو أي إجراء فوري للعملاء. يشير هذا التأكيد إلى أن الثغرة لا تعرض المحافظ النشطة للسرقة في الظروف العادية، أو أن الهجوم يتطلب ظروفًا يصعب تحقيقها عمليًا.
Trezor's approach to security often relies on transparency—the company publishes open-source firmware and has invited third-party audits in the past. But the silence on a fix leaves some questions open. Other hardware wallet makers typically deploy an update soon after a vulnerability is reported, even if the risk is low.
Translation: يعتمد نهج Trezor في الأمان غالبًا على الشفافية - تنشر الشركة برمجيات مفتوحة المصدر وقد دعت إلى تدقيق من طرف ثالث في الماضي. لكن الصمت بشأن الإصلاح يترك بعض الأسئلة مفتوحة. عادةً ما تقوم شركات تصنيع محافظ الأجهزة الأخرى بنشر تحديث بعد وقت قصير من الإبلاغ عن ثغرة، حتى لو كان الخطر منخفضًا.Ledger Donjon's role
Ledger Donjon has a track record of finding flaws in competing products. The team previously disclosed weaknesses in Trezor's earlier models, including the One and Model T. This latest finding extends that pattern. Ledger and Trezor compete for the same market of cryptocurrency users who want cold storage, so the audit carries an edge of rivalry. Still, the disclosure itself follows industry norms: researchers share findings with the vendor before going public, giving time for a fix.
Translation:دور Ledger Donjon
لدى Ledger Donjon سجل في اكتشاف الثغرات في المنتجات المنافسة. كشف الفريق سابقًا عن نقاط ضعف في نماذج Trezor السابقة، بما في ذلك One و Model T. هذا الاكتشاف الأخير يمتد لهذا النمط. تتنافس Ledger و Trezor على نفس السوق من مستخدمي العملات المشفرة الذين يريدون التخزين البارد، لذا يحمل التدقيق نكهة تنافسية. ومع ذلك، فإن الكشف نفسه يتبع المعايير الصناعية: يشارك الباحثون النتائج مع البائع قبل الإعلان عنها، مما يعطي وقتًا للإصلاح.
Note: "One" and "Model T" are product names, keep as is.It is not clear when the audit began or how long Trezor had to respond before the news broke. The absence of a patch at the time of disclosure may indicate the vulnerability is considered low severity, or that a hardware revision is required rather than a simple software update.
Translation: ليس من الواضح متى بدأ التدقيق أو كم من الوقت كان لدى Trezor للرد قبل نشر الخبر. قد يشير عدم وجود تصحيح وقت الكشف إلى أن الثغرة تعتبر منخفضة الخطورة، أو أن مراجعة الأجهزة مطلوبة بدلاً من تحديث برمجي بسيط.What users should know
For now, Trezor's message is straightforward: do nothing. The company maintains that funds are not at risk. Users who are worried can take basic precautions—using a strong passphrase, keeping firmware up to date, and buying devices only from official channels. But Trezor has not issued a specific warning or change in guidance.
Translation:ما يجب أن يعرفه المستخدمون
في الوقت الحالي، رسالة Trezor واضحة: لا تفعل شيئًا. تؤكد الشركة أن الأموال ليست في خطر. يمكن للمستخدمين القلقين اتخاذ احتياطات أساسية - استخدام عبارة مرور قوية، والحفاظ على تحديث البرمجيات، وشراء الأجهزة فقط من القنوات الرسمية. لكن Trezor لم تصدر تحذيرًا محددًا أو تغييرًا في التوجيهات.
The episode underscores the ongoing cat-and-mouse game in hardware security. Wallets that were once considered impenetrable are periodically tested by white-hat researchers, and the manufacturers respond accordingly. The real test will come if a future vulnerability proves more serious than this one.
Translation: تسلط هذه الحلقة الضوء على لعبة القط والفأر المستمرة في أمان الأجهزة. يتم اختبار المحافظ التي كانت تعتبر في يوم من الأيام منيعة بشكل دوري من قبل باحثي القبعة البيضاء، ويستجيب المصنعون وفقًا لذلك. سيأتي الاختبار الحقيقي إذا أثبتت ثغرة مستقبلية أنها أكثر خطورة من هذه. Now meta description: "A security audit by Ledger Donjon found a vulnerability in Trezor's TROPIC01 Secure Element chip. Trezor says user funds remain safe despite the flaw." Arabic: كشف تدقيق أمني بواسطة Ledger Donjon عن ثغرة في شريحة TROPIC01 Secure Element من Trezor. تقول Trezor إن أموال المستخدمين تظل آمنة رغم الثغرة. Now assemble the JSON. Need to escape double quotes inside strings. Use ". Also ensure HTML tags are
