सिक्योर एलिमेंट में खामी
यह खामी लेजर डोंजन द्वारा उजागर की गई, जो ट्रेज़र के प्रतिद्वंद्वी लेजर की आंतरिक सुरक्षा अनुसंधान टीम है। यह TROPIC01 चिप को प्रभावित करती है, जो एक समर्पित सुरक्षित प्रोसेसर है जिसे प्राइवेट कीज़ और संवेदनशील कार्यों की सुरक्षा के लिए डिज़ाइन किया गया है। ऑडिट में यह निर्दिष्ट नहीं किया गया कि क्या खामी का दूरस्थ रूप से शोषण किया जा सकता है या इसके लिए भौतिक पहुँच की आवश्यकता है, लेकिन ट्रेज़र ने इस निष्कर्ष को स्वीकार कर लिया है।
सिक्योर एलिमेंट हार्डवेयर वॉलेट में एक मानक घटक हैं, जिनका उद्देश्य छेड़छाड़ और साइड-चैनल हमलों के खिलाफ सुरक्षा की एक अतिरिक्त परत प्रदान करना है। इस घटक में कमजोरी सैद्धांतिक रूप से एक हमलावर को कीज़ निकालने या सुरक्षा जाँचों को बायपास करने की अनुमति दे सकती है। ट्रेज़र ने खामी की सटीक प्रकृति के बारे में विवरण जारी नहीं किया है, इसके बजाय चल रही ऑडिट प्रक्रिया का उल्लेख किया है।
ट्रेज़र की प्रतिक्रिया
खुलासे के बाद एक बयान में, ट्रेज़र ने कहा कि उपयोगकर्ताओं के फंड 'सुरक्षित' हैं। कंपनी ने कोई रिकॉल, फर्मवेयर पैच या ग्राहकों के लिए कोई तत्काल कार्रवाई की घोषणा नहीं की। यह आश्वासन बताता है कि यह खामी सामान्य परिस्थितियों में सक्रिय वॉलेट को चोरी के लिए उजागर नहीं करती है, या हमले के लिए ऐसी शर्तों की आवश्यकता होती है जो व्यवहार में पूरी करना कठिन है।
ट्रेज़र का सुरक्षा के प्रति दृष्टिकोण अक्सर पारदर्शिता पर निर्भर करता है—कंपनी ओपन-सोर्स फर्मवेयर प्रकाशित करती है और अतीत में तीसरे पक्ष के ऑडिट को आमंत्रित कर चुकी है। लेकिन एक समाधान पर चुप्पी कुछ प्रश्नों को खुला छोड़ देती है। अन्य हार्डवेयर वॉलेट निर्माता आमतौर पर कम जोखिम होने पर भी, एक खामी की रिपोर्ट के बाद जल्द ही एक अपडेट तैनात करते हैं।
लेजर डोंजन की भूमिका
लेजर डोंजन के पास प्रतिस्पर्धी उत्पादों में खामियाँ खोजने का एक ट्रैक रिकॉर्ड है। टीम ने पहले ट्रेज़र के पुराने मॉडलों, जिनमें One और Model T शामिल हैं, में कमजोरियों का खुलासा किया था। यह नवीनतम खोज उस पैटर्न को आगे बढ़ाती है। लेजर और ट्रेज़र क्रिप्टोकरेंसी उपयोगकर्ताओं के उसी बाजार के लिए प्रतिस्पर्धा करते हैं जो कोल्ड स्टोरेज चाहते हैं, इसलिए ऑडिट में प्रतिद्वंद्विता का एक किनारा है। फिर भी, खुलासा स्वयं उद्योग के मानदंडों का पालन करता है: शोधकर्ता सार्वजनिक होने से पहले विक्रेता के साथ निष्कर्ष साझा करते हैं, जिससे समाधान के लिए समय मिलता है।
यह स्पष्ट नहीं है कि ऑडिट कब शुरू हुआ या खबर टूटने से पहले ट्रेज़र के पास प्रतिक्रिया देने के लिए कितना समय था। खुलासे के समय पैच की अनुपस्थिति यह संकेत दे सकती है कि खामी को कम गंभीरता का माना जाता है, या एक सरल सॉफ्टवेयर अपडेट के बजाय हार्डवेयर संशोधन की आवश्यकता है।
उपयोगकर्ताओं को क्या पता होना चाहिए
फिलहाल, ट्रेज़र का संदेश सीधा है: कुछ न करें। कंपनी का मानना है कि फंड जोखिम में नहीं हैं। चिंतित उपयोगकर्ता बुनियादी सावधानियाँ ले सकते हैं—एक मजबूत पासफ्रेज़ का उपयोग करना, फर्मवेयर को अपडेट रखना, और केवल आधिकारिक चैनलों से डिवाइस खरीदना। लेकिन ट्रेज़र ने कोई विशिष्ट चेत
