Dompet perkakasan Trezor mengandungi kerentanan dalam cip Elemen Selamat TROPIC01, menurut audit yang didedahkan oleh sayap keselamatan Ledger. Syarikat di sebalik peranti storan sejuk yang popular ini bergerak pantas untuk meyakinkan pengguna bahawa dana masih selamat walaupun terdapat kelemahan tersebut.
Kelemahan dalam Elemen Selamat
Kerentanan itu ditemui oleh Ledger Donjon, pasukan penyelidikan keselamatan dalaman pesaing Trezor, Ledger. Ia menjejaskan cip TROPIC01, pemproses selamat khusus yang direka untuk melindungi kunci peribadi dan operasi sensitif. Audit tidak menyatakan sama ada kerentanan itu boleh dieksploitasi dari jauh atau memerlukan akses fizikal, tetapi Trezor telah mengakui penemuan tersebut.
Elemen selamat adalah komponen standard dalam dompet perkakasan, bertujuan memberikan lapisan perlindungan tambahan terhadap gangguan dan serangan saluran sisi. Kelemahan dalam komponen ini secara teorinya boleh membolehkan penyerang mengekstrak kunci atau memintas pemeriksaan keselamatan. Trezor tidak mengeluarkan butiran mengenai sifat sebenar kelemahan itu, sebaliknya merujuk kepada proses audit yang sedang berjalan.
Respons Trezor
Dalam kenyataan selepas pendedahan itu, Trezor menyatakan dana pengguna 'selamat.' Syarikat itu tidak mengumumkan penarikan balik, tampalan perisian tegar, atau sebarang tindakan segera untuk pelanggan. Jaminan ini menunjukkan bahawa kerentanan itu tidak mendedahkan dompet aktif kepada kecurian dalam keadaan biasa, atau bahawa serangan memerlukan keadaan yang sukar dipenuhi dalam amalan.
Pendekatan Trezor terhadap keselamatan sering bergantung pada ketelusan—syarikat itu menerbitkan perisian tegar sumber terbuka dan pernah menjemput audit pihak ketiga pada masa lalu. Tetapi kesunyian mengenai pembaikan meninggalkan beberapa soalan terbuka. Pengeluar dompet perkakasan lain biasanya menggunakan kemas kini sebaik sahaja kerentanan dilaporkan, walaupun risikonya rendah.
Peranan Ledger Donjon
Ledger Donjon mempunyai rekod prestasi dalam mencari kelemahan dalam produk pesaing. Pasukan itu sebelum ini mendedahkan kelemahan dalam model Trezor yang lebih awal, termasuk One dan Model T. Penemuan terbaru ini melanjutkan corak tersebut. Ledger dan Trezor bersaing untuk pasaran yang sama iaitu pengguna mata wang kripto yang mahukan penyimpanan sejuk, jadi audit ini membawa unsur persaingan. Namun begitu, pendedahan itu sendiri mengikut norma industri: penyelidik berkongsi penemuan dengan vendor sebelum mendedahkannya kepada umum, memberi masa untuk pembaikan.
Tidak jelas bila audit bermula atau berapa lama Trezor diberi masa untuk bertindak balas sebelum berita itu tersebar. Ketiadaan tampalan pada masa pendedahan mungkin menunjukkan kerentanan itu dianggap berisiko rendah, atau bahawa semakan semula perkakasan diperlukan dan bukannya kemas kini perisian ringkas.
Apa yang perlu diketahui pengguna
Buat masa ini, mesej Trezor adalah terus terang: jangan buat apa-apa. Syarikat itu mengekalkan bahawa dana tidak berisiko. Pengguna yang bimbang boleh mengambil langkah berjaga-jaga asas—menggunakan frasa laluan yang kuat, memastikan perisian tegar dikemas kini, dan membeli peranti hanya dari saluran rasmi. Tetapi Trezor tidak mengeluarkan amaran khusus atau perubahan dalam panduan.
Episod ini menekankan permainan kucing-dan-tikus yang berterusan dalam keselamatan perkakasan. Dompet yang dahulunya dianggap tidak boleh ditembusi diuji secara berkala oleh penyelidik topi putih, dan pengeluar bertindak balas sewajarnya. Ujian sebenar akan datang jika kerentanan masa depan terbukti lebih serius daripada ini.
