Недолік у Secure Element
Вразливість була виявлена командою Ledger Donjon — внутрішньою групою дослідження безпеки конкурента Trezor. Вона впливає на чип TROPIC01, спеціалізований захищений процесор, призначений для зберігання приватних ключів і виконання чутливих операцій. Аудит не уточнив, чи можна використати вразливість віддалено, чи вона потребує фізичного доступу, але Trezor підтвердив знахідку.
Захищені елементи є стандартним компонентом апаратних гаманців, які мають забезпечити додатковий рівень захисту від злому та атак через побічні канали. Слабкість у цьому компоненті теоретично може дозволити зловмиснику витягти ключі або обійти перевірки безпеки. Trezor не оприлюднив деталей щодо точного характеру недоліку, посилаючись на поточний процес аудиту.
Реакція Trezor
У заяві після розкриття інформації Trezor повідомив, що кошти користувачів «в безпеці». Компанія не оголосила про відкликання пристроїв, виправлення прошивки чи будь-які негайні дії для клієнтів. Таке запевнення свідчить, що вразливість не наражає активні гаманці на ризик крадіжки за звичайних умов, або що атака потребує практично складних умов.
Підхід Trezor до безпеки часто базується на прозорості — компанія публікує прошивку з відкритим кодом і в минулому запрошувала сторонні аудити. Однак мовчання про виправлення залишає деякі питання відкритими. Інші виробники апаратних гаманців зазвичай випускають оновлення невдовзі після повідомлення про вразливість, навіть якщо ризик низький.
Роль Ledger Donjon
Ledger Donjon має історію виявлення недоліків у продуктах конкурентів. Раніше команда знайшла вразливості в попередніх моделях Trezor, зокрема One та Model T. Остання знахідка продовжує цю тенденцію. Ledger і Trezor конкурують за один ринок користувачів криптовалют, які потребують холодного зберігання, тому аудит має відтінок суперництва. Проте саме розкриття відповідає галузевим нормам: дослідники спочатку діляться знахідками з виробником, а вже потім публікують,
