Ledger Donjon tim detektovao propust, ali višeslojna zaštita sprečava kompromitaciju novčanika
Kompanija Trezor, poznata po hardverskim kripto novčanicima, zajedno sa proizvođačem čipa Tropic Square, objavila je otkriće ranjivosti u jednom od tri nezavisna sigurnosna sloja novog Trezor Safe 7 uređaja. Ranjivost je identifikovana tokom nezavisne bezbednosne provere koju je sproveo Ledger Donjon tim, istraživačka grupa suparničkog proizvođača Ledger. Uprkos otkriću, Trezor i Tropic Square naglašavaju da korisnička sredstva nisu ugrožena, jer kompromitacija TROPIC01 sigurnosnog čipa nije dovoljna za pristup PIN-u, novčaniku ili fondovima korisnika.
Ranjivost je otkrivena u okviru laboratorijskog napada pomoću “laser fault injection” metode, što je omogućilo istraživačima da izvuku određene podatke iz čipa i zaobiđu verifikaciju firmverskog potpisa. Dodatna analiza inženjera Tropic Square-a pronašla je još jedan potencijalni način eksploatacije, vezan za PIN funkcionalnost čipa. Obe kompanije odlučile su da javno objave propust i rezultate istraživanja Ledger Donjon tima, ističući značaj transparentnosti i doprinosa nezavisnih istraživača u jačanju sigurnosti kripto uređaja.
Trezor je jasno naveo da korisnici ne treba da preduzimaju nikakve posebne mere, jer višeslojna arhitektura Safe 7 uređaja garantuje zaštitu čak i u slučaju kompromitacije jednog sloja. Ranjivost je hardverske prirode i ne može se otkloniti daljinskim ažuriranjem firmvera. CEO Trezor-a Matej Žák ističe da je višeslojna zaštita ključna prednost novih uređaja i razlog zašto sredstva korisnika ostaju zaštićena i nakon ovog otkrića.
Ledger Donjon tim je i ranije publikovao nezavisne bezbednosne analize Trezor uređaja, uključujući izveštaj o Safe 3 modelu koji je obuhvatio fizičke napade na lanac snabdevanja. Trezor je odgovorio unapređenjem otpornosti na slične napade i istakao da nijedan uređaj kompanije do sada nije bio kompromitovan. U trenutku objave, kompanija nije dala podatke o bezbednosnim auditima preostala dva čipa koja se koriste u Safe 7 modelu, niti o čipovima u starijim modelima.
Ovaj slučaj pokazuje rastuću ulogu nezavisnih bezbednosnih timova u razvoju i proverenju sigurnosti hardverskih kripto novčanika. Transparentna saradnja rivala i stručnjaka iz industrije doprinosi ukupnom poverenju korisnika u čuvanje digitalne imovine.
