硬件钱包制造商 Trezor 及其芯片合作伙伴 Tropic Square 公开披露了在 Trezor Safe 7 钱包的三个独立安全层之一中发现的漏洞。该缺陷是由竞争对手 Ledger 的安全研究部门 Ledger Donjon 在独立审计中发现的。
提供 TROPIC01 Secure Element 芯片进行测试的 Tropic Square 表示,虽然该漏洞允许提取一些芯片保存的秘密,并且可以在特定实验室条件下绕过固件签名验证,但它不会危及用户资金。 Trezor 强调,由于设备的多层安全架构,利用该单芯片不足以访问用户的钱包、PIN 或加密货币。
TROPIC01 是 Trezor Safe 7 中的两个安全元件之一,该产品于 2025 年 10 月推出。来源:SatoshiLabs
该漏洞是在 Tropic Square 发起的安全审查期间通过激光故障注入攻击发现的。继 Ledger Donjon 于 2026 年 1 月发布报告后,Tropic Square 工程师发现了一种与 PIN 功能相关的额外利用方法。两家公司就公开披露进行了协调。
Trezor 已建议 Safe 7 用户无需采取任何行动。由于问题存在于硬件级别,因此无法通过固件更新进行修补。不过,该公司声称其多个独立安全层的设计理念可确保资金受到保护。
来源:Trezor
“由于 Trezor Safe 7 采用多个独立的安全层构建,TROPIC01 中的漏洞不会使用户资金面临风险,”Trezor 首席执行官 Matej Žák 表示。
这一事件凸显了独立安全审计在加密货币托管领域日益重要的作用。 Ledger Donjon 此前曾发表过有关 Trezor 设备的研究,其中包括涉及物理供应链拦截的攻击向量。 Trezor 指出,此后它一直在努力强化其设备以抵御此类威胁,并且不知道有任何用户资金受到损害。