Η Trezor και η σχεδιάστρια τσιπ Tropic Square αποκάλυψαν ένα ελάττωμα ασφαλείας στο ολοκληρωμένο κύκλωμα TROPIC01. Η ευπάθεια εντοπίστηκε κατά τη διάρκεια ενός ελέγχου ασφαλείας που διεξήχθη από την Ledger Donjon, την ομάδα ασφαλείας υλικού της ανταγωνίστριας εταιρείας πορτοφολιών Ledger. Η Trezor δηλώνει ότι το πορτοφόλι Safe 7 και τα κεφάλαια των χρηστών δεν κινδυνεύουν παρά το ζήτημα.
Η ανακάλυψη της ευπάθειας
Ο έλεγχος της Ledger Donjon εντόπισε μια αδυναμία στο τσιπ TROPIC01, ένα εξάρτημα που χρησιμοποιείται σε ορισμένα πορτοφόλια υλικού. Ούτε η Trezor ούτε η Tropic Square έχουν δώσει λεπτομέρειες για την ακριβή φύση του ελαττώματος, αλλά η αποκάλυψη επιβεβαιώνει ότι υπάρχει. Ο έλεγχος ήταν μέρος μιας τακτικής αναθεώρησης της ασφάλειας του τσιπ πριν από την ευρύτερη ανάπτυξή του.
Τι λέει η Trezor για το Safe 7
Η Trezor έσπευσε να καθησυχάσει τους χρήστες. Η εταιρεία δήλωσε ότι το πορτοφόλι Safe 7 — το οποίο βασίζεται στο τσιπ TROPIC01 — παραμένει ασφαλές. Τα κεφάλαια των χρηστών δεν είναι εκτεθειμένα και δεν απαιτείται καμία ενέργεια από τους κατόχους. Η Trezor δεν διευκρίνισε εάν σχεδιάζεται ενημέρωση υλικολογισμικού ή άλλο μέτρο μετριασμού, αναφέροντας μόνο ότι η ευπάθεια δεν επηρεάζει την τρέχουσα λειτουργία του πορτοφολιού.
Ο ρόλος του τσιπ και τα επόμενα βήματα
Το TROPIC01 είναι ένα τσιπ ασφαλείας ανοιχτού κώδικα που αναπτύχθηκε από την Tropic Square, μια τσεχική εταιρεία που συνεργάζεται στενά με την Trezor. Το τσιπ έχει σχεδιαστεί για να παρέχει μια επαληθεύσιμη, διαφανή ρίζα εμπιστοσύνης υλικού. Αν και το ανακαλυφθέν ελάττωμα δεν επηρεάζει το Safe 7, εγείρει ερωτήματα σχετικά με μελλοντικά προϊόντα που ενδέχεται να χρησιμοποιούν το τσιπ. Η Tropic Square δεν έχει ανακοινώσει χρονοδιάγραμμα για μια επιδιόρθωση ή μια αναθεωρημένη έκδοση του TROPIC01.
Προς το παρόν, η Trezor και η Tropic Square έχουν μοιραστεί μόνο τα ελάχιστα απαραίτητα — υπάρχει μια ευπάθεια, αλλά είναι περιορισμένη. Οι χρήστες μπορούν να συνεχίσουν να χρησιμοποιούν τα πορτοφόλια Safe 7 τους κανονικά. Οι πλήρεις τεχνικές λεπτομέρειες του ελαττώματος παραμένουν μη δημοσιοποιημένες, πιθανότατα μέχρι να είναι έτοιμη μια επιδιόρθωση ή μια νέα έκδοση του τσιπ.
