Компании Trezor и разработчик чипов Tropic Square сообщили об уязвимости в интегральной схеме TROPIC01. Недостаток был выявлен в ходе аудита безопасности, проведенного Ledger Donjon — группой аппаратной безопасности конкурирующего производителя кошельков Ledger. Trezor заявляет, что кошелек Safe 7 и средства пользователей не подвержены риску, несмотря на проблему.
Обнаружение уязвимости
Аудит Ledger Donjon выявил слабое место в чипе TROPIC01, который используется в некоторых аппаратных кошельках. Ни Trezor, ни Tropic Square не раскрыли точный характер уязвимости, однако подтвердили ее существование. Аудит был частью плановой проверки безопасности чипа перед его более широким внедрением.
Что Trezor говорит о Safe 7
Trezor поспешил успокоить пользователей. Компания заявила, что кошелек Safe 7, который работает на чипе TROPIC01, остается безопасным. Средства пользователей не подвергаются риску, и владельцам не требуется предпринимать никаких действий. Trezor не уточнил, планируется ли обновление встроенного ПО или другие меры по смягчению последствий, отметив лишь, что уязвимость не влияет на текущую работу кошелька.
Роль чипа и дальнейшие шаги
TROPIC01 — это чип безопасности с открытым исходным кодом, разработанный чешской компанией Tropic Square, которая тесно сотрудничает с Trezor. Чип предназначен для создания проверяемого и прозрачного аппаратного корня доверия. Хотя обнаруженная уязвимость не затрагивает Safe 7, она ставит вопросы относительно будущих продуктов, которые могут использовать этот чип. Tropic Square пока не объявила сроков исправления или выпуска новой версии TROPIC01.
На данный момент Trezor и Tropic Square предоставили лишь минимум информации: уязвимость существует, но она локализована. Пользователи могут продолжать использовать свои кошельки Safe 7 в обычном режиме. Полные технические детали уязвимости пока не раскрываются, вероятно, до выхода патча или новой версии чипа.
