Trezor'un donanım cüzdanının TROPIC01 Secure Element çipinde bir güvenlik açığı bulunduğu, Ledger'in güvenlik kolu tarafından yapılan bir denetimde ortaya çıkarıldı. Popüler soğuk depolama cihazlarının arkasındaki şirket, bu açığa rağmen fonların güvenli olduğunu kullanıcıları temin etmek için hızlı bir şekilde harekete geçti.
Güvenli Elemandaki Açığın Detayları
Açık, Trezor'un rakibi Ledger'in iç güvenlik araştırma ekibi Ledger Donjon tarafından ortaya çıkarıldı. Bu, özel anahtarları ve hassas işlemleri korumak için tasarlanmış TROPIC01 çipini etkiliyor. Denetimde, açığın uzaktan exploitleme olasılığı veya fiziksel erişim gerektirip gerektirmediği belirtilmedi, ancak Trezor bulguyu kabul etti.
Güvenli Elemanlar, donanım cüzdanlarında standart bir bileşendir ve manipülasyona ve yan kanal saldırılarına karşı ek koruma katmanı sağlar. Bu bileşendeki bir zayıflık teorik olarak saldırganın anahtarları çalmasına veya güvenlik kontrollerini atlamasına izin verebilir. Trezor, açığın tam niteliği hakkında detay yayımlamadı; bunun yerine devam eden denetim sürecine atıfta bulundu.
Trezor'un Tepkisi
Açıklamanın ardından Trezor, kullanıcı fonlarının 'güvenli' olduğunu belirtti. Şirket geri çağırma, firmware yaması veya müşteriler için acil eylem duyurusu yapmadı. Bu durum, açığın normal koşullarda aktif cüzdanları hırsızlık riskine maruz bırakmadığını veya saldırının pratikte zor karşılaşılan koşulları gerektirdiğini gösteriyor olabilir.
Trezor'un güvenlik yaklaşımı genellikle şeffaflığa dayanır: şirket açık kaynaklı firmware yayımlar ve geçmişte üçüncü taraf denetimlerini davet etmiştir. Ancak düzeltme konusundaki sessizlik bazı soru işaretlerini koruyor. Diğer donanım cüzdan üreticileri genellikle açığın bildirilmesinin ardından risk düşük olsa bile hemen güncelleme yayınlamaktadır.
Ledger Donjon'un Rolü
Ledger Donjon, rakip ürünlerdeki açıkları bulma konusunda kanıtlı bir geçmişe sahiptir. Ekip, daha önce Trezor'un eski modellerindeki açıkları, One ve Model T dahil, ortaya koymuştur. Bu son bulgu da bu eğilimi sürdürüyor. Ledger ve Trezor, soğuk depolama isteyen kripto kullanıcıları için aynı pazarda rekabet eder; bu nedenle denetim, rekabet unsuru taşır. Yine de açıklamanın kendisi sektör standartlarını takip ediyor: araştırmacılar bulguları kamuoyuna açıklamadan önce üreticiye bildirir ve düzeltme için süre tanır.
Denetimin ne zaman başladığı veya Trezor'un haberi almasından sonra ne kadar süre bildirime kadar geçtiği net değil. Açıklanma anında güncelleme olmaması, açığın düşük ciddiyette değerlendirildiğini veya sadece yazılım güncellemesiyle değil donanım revizyonu gerektirdiğini gösteriyor olabilir.
Kullanıcıların Bilmesi Gerekenler
Şu an için Trezor'un mesajı açık ve net: hiçbir şey yapmayın. Şirket, fonların risk altında olmadığını vurguluyor. Endişe duyan kullanıcılar temel önlemler alabilir: güçlü bir parola kullanmak, firmware'i güncel tutmak ve cihazları yalnızca resmi kanallardan satın almak. Ancak Trezor, spesifik bir uyarı veya rehber değişikliği yayımlamadı.
Bu olay, donanım güvenliğinde devam eden kedi fare oyununu vurguluyor. Önce kırılamaz sanılan cüzdanlar, beyaz şapkalı araştırmacılar tarafından periyodik olarak test edilir ve üreticiler buna göre tepki verir. Gerçek test, gelecekteki bir açığın bu olandan daha ciddi olduğunda gelecektir.
