The flaw in the Secure Element
The vulnerability was uncovered by Ledger Donjon, the internal security research team of Trezor's rival Ledger. It affects the TROPIC01 chip, a dedicated secure processor designed to protect private keys and sensitive operations. The audit did not specify whether the vulnerability could be exploited remotely or required physical access, but Trezor has acknowledged the finding.
Translation:De fout in de Secure Element
De kwetsbaarheid werd ontdekt door Ledger Donjon, het interne beveiligingsonderzoeksteam van Trezor's rivaal Ledger. Het treft de TROPIC01-chip, een speciale beveiligingsprocessor ontworpen om privésleutels en gevoelige operaties te beschermen. De audit specificeerde niet of de kwetsbaarheid op afstand kon worden uitgebuit of fysieke toegang vereiste, maar Trezor heeft de bevinding erkend.
Third:Secure elements are a standard component in hardware wallets, meant to provide an extra layer of protection against tampering and side-channel attacks. A weakness in this component could theoretically allow an attacker to extract keys or bypass security checks. Trezor has not released details on the exact nature of the flaw, referring instead to the ongoing audit process.
Translation:Secure elements zijn een standaardcomponent in hardware wallets, bedoeld om een extra beschermingslaag te bieden tegen manipulatie en zijkanaalaanvallen. Een zwakte in dit onderdeel zou theoretisch een aanvaller in staat kunnen stellen sleutels te extraheren of beveiligingscontroles te omzeilen. Trezor heeft geen details vrijgegeven over de exacte aard van de fout, maar verwijst naar het lopende auditproces.
Fourth:Trezor's response
In a statement following the disclosure, Trezor said user funds are 'safe.' The company did not announce a recall, a firmware patch, or any immediate action for customers. The assurance suggests that the vulnerability does not expose active wallets to theft under normal conditions, or that the attack requires conditions that are difficult to meet in practice.
Translation:Reactie van Trezor
In een verklaring na de onthulling zei Trezor dat gebruikersfondsen 'veilig' zijn. Het bedrijf kondigde geen terugroepactie, firmware-update of onmiddellijke actie voor klanten aan. De geruststelling suggereert dat de kwetsbaarheid actieve wallets onder normale omstandigheden niet blootstelt aan diefstal, of dat de aanval omstandigheden vereist die in de praktijk moeilijk te realiseren zijn.
Fifth:Trezor's approach to security often relies on transparency—the company publishes open-source firmware and has invited third-party audits in the past. But the silence on a fix leaves some questions open. Other hardware wallet makers typically deploy an update soon after a vulnerability is reported, even if the risk is low.
Translation:Trezor's benadering van beveiliging berust vaak op transparantie - het bedrijf publiceert open-source firmware en heeft in het verleden audits van derden uitgenodigd. Maar het stilzwijgen over een oplossing laat enkele vragen open. Andere hardware wallet-makers brengen doorgaans snel een update uit nadat een kwetsbaarheid is gemeld, zelfs als het risico laag is.
Sixth:Ledger Donjon’s role
Ledger Donjon has a track record of finding flaws in competing products. The team previously disclosed weaknesses in Trezor's earlier models, including the One and Model T. This latest finding extends that pattern. Ledger and Trezor compete for the same market of cryptocurrency users who want cold storage, so the audit carries an edge of rivalry. Still, the disclosure itself follows industry norms: researchers share findings with the vendor before going public, giving time for a fix.
Translation:De rol van Ledger Donjon
Ledger Donjon heeft een staat van dienst in het vinden van fouten in concurrerende producten. Het team heeft eerder zwaktes onthuld in eerdere modellen van Trezor, waaronder de One en Model T. Deze laatste bevinding zet die trend voort. Ledger en Trezor concurreren om dezelfde markt van cryptocurrency-gebruikers die koude opslag willen, dus de audit draagt een vleugje rivaliteit met zich mee. Toch volgt de openbaarmaking zelf de industriestandaarden: onderzoekers delen bevindingen met de leverancier voordat ze naar buiten komen, zodat er tijd is voor een oplossing.
Note: 'cold storage' here translated as 'koude opslag'. Keep consistent. Seventh:It is not clear when the audit began or how long Trezor had to respond before the news broke. The absence of a patch at the time of disclosure may indicate the vulnerability is considered low severity, or that a hardware revision is required rather than a simple software update.
Translation:Het is niet duidelijk wanneer de audit begon of hoe lang Trezor de tijd had om te reageren voordat het nieuws naar buiten kwam. Het ontbreken van een patch op het moment van openbaarmaking kan erop wijzen dat de kwetsbaarheid als laag in ernst wordt beschouwd, of dat een hardware-herziening nodig is in plaats van een eenvoudige software-update.
Eighth:What users should know
For now, Trezor's message is straightforward: do nothing. The company maintains that funds are not at risk. Users who are worried can take basic precautions—using a strong passphrase, keeping firmware up to date, and buying devices only from official channels. But Trezor has not issued a specific warning or change in guidance.
Translation:Wat gebruikers moeten weten
Voor nu is de boodschap van Trezor eenvoudig: doe niets. Het bedrijf houdt vol dat fondsen niet in gevaar zijn. Gebruikers die zich zorgen maken, kunnen basisvoorzorgsmaatregelen nemen - het gebruik van een sterke wachtwoordzin, het up-to-date houden van firmware en het alleen kopen van apparaten via officiële kanalen. Maar Trezor heeft geen specifieke waarschuwing of wijziging in het advies gegeven.
Last paragraph:The episode
