Trezor硬件钱包中的TROPIC01安全元件芯片存在漏洞,这一发现来自Ledger安全部门的一次审计。这家热门冷钱包设备公司迅速向用户保证,尽管存在缺陷,资金仍然安全。
安全元件中的漏洞
该漏洞由Trezor竞争对手Ledger的内部安全研究团队Ledger Donjon发现。它影响了TROPIC01芯片,这是一款专为保护私钥和敏感操作而设计的专用安全处理器。审计未具体说明该漏洞是否可远程利用或需要物理接触,但Trezor已承认这一发现。
安全元件是硬件钱包的标准组件,旨在提供额外的防篡改和侧信道攻击保护。该组件中的弱点理论上可能允许攻击者提取密钥或绕过安全检查。Trezor尚未公布漏洞的确切性质细节,而是提及正在进行的审计过程。
Trezor的回应
在披露后的声明中,Trezor表示用户资金“安全”。该公司未宣布召回、固件补丁或任何针对客户的立即行动。这一保证表明,该漏洞在正常条件下不会使活跃钱包面临盗窃风险,或攻击需要现实中难以满足的条件。
Trezor的安全方法通常依赖于透明度——该公司发布开源固件,并曾邀请第三方审计。但在修复措施上的沉默留下了一些疑问。其他硬件钱包制造商通常会在漏洞报告后尽快部署更新,即使风险很低。
Ledger Donjon的角色
Ledger Donjon在发现竞争对手产品缺陷方面有良好记录。该团队此前曾披露Trezor早期型号(包括One和Model T)的弱点。这一最新发现延续了该模式。Ledger和Trezor争夺同样的加密货币用户市场——这些用户需要冷存储,因此审计带有竞争色彩。尽管如此,披露本身遵循行业规范:研究人员在公开前与供应商分享发现,以便有时间进行修复。
目前尚不清楚审计何时开始,以及Trezor在消息爆出前有多少时间做出回应。披露时没有补丁可能表明该漏洞被认为严重性较低,或者需要硬件修订而非简单的软件更新。
用户须知
目前,Trezor的信息很直接:无需操作。该公司坚持认为资金没有风险。担心的用户可以采取基本预防措施——使用强密码短语、保持固件更新、仅从官方渠道购买设备。但Trezor并未发布具体警告或更改指南。
这一事件凸显了硬件安全中持续的猫鼠游戏。曾经被认为坚不可摧的钱包定期受到白帽研究人员的测试,制造商相应做出回应。真正的考验将是未来出现比这次更严重的漏洞时。
