Trezor và nhà sản xuất chip Tropic Square đã công bố một lỗ hổng trong TROPIC01 Secure Element được sử dụng trong ví phần cứng Trezor Safe 7, sau khi đội ngũ bảo mật Donjon của Ledger thực hiện một cuộc tấn công tiêm lỗi laser trong điều kiện phòng thí nghiệm. Các công ty cho biết lỗ hổng này không gây rủi ro cho tiền của người dùng vì Safe 7 dựa trên ba lớp bảo mật độc lập, và việc xâm phạm riêng TROPIC01 là không đủ để truy cập ví, mã PIN hay khóa riêng tư.
Trezor và nhà sản xuất chip Tropic Square đã công bố một lỗ hổng trong TROPIC01 Secure Element được sử dụng trong ví phần cứng Trezor Safe 7, sau khi đội ngũ bảo mật Donjon của Ledger thực hiện một cuộc tấn công tiêm lỗi laser trong điều kiện phòng thí nghiệm. Các công ty cho biết lỗ hổng này không gây rủi ro cho tiền của người dùng vì Safe 7 dựa trên ba lớp bảo mật độc lập, và việc xâm phạm riêng TROPIC01 là không đủ để truy cập ví, mã PIN hay khóa riêng tư.
Ledger Donjon đã thông báo cho Tropic Square vào tháng 1 năm 2026 rằng họ đã vượt qua thành công một số biện pháp bảo vệ của chip và trích xuất được các bí mật được lưu trữ bên trong linh kiện, cũng như vượt qua được quá trình xác minh chữ ký phần mềm cơ sở. Sau khi xem xét những phát hiện đó, các kỹ sư của Tropic Square đã xác định thêm một phương pháp có thể làm lộ một bí mật khác liên quan đến các chức năng của chip liên quan đến PIN. Các công ty đã chọn công bố thông tin vào ngày 3 tháng 6.
"Bởi vì Trezor Safe 7 được xây dựng với nhiều lớp bảo mật độc lập, một lỗ hổng trong TROPIC01 không gây rủi ro cho tiền của người dùng," Matej Žák, giám đốc điều hành của Trezor, cho biết.
Safe 7, ra mắt vào tháng 10 năm 2025, kết hợp TROPIC01 với hai chip khác — OPTIGA Trust M và STM32U5 — để xử lý xác minh PIN, xác thực thiết bị và tạo ví. Lỗ hổng tồn tại ở cấp độ phần cứng và không thể khắc phục thông qua bản cập nhật phần mềm từ xa. Kẻ tấn công sẽ cần sở hữu vật lý thiết bị, thiết bị phòng thí nghiệm chuyên dụng và chuyên môn kỹ thuật cao để thực hiện khai thác, và không có bằng chứng nào cho thấy lỗ hổng đã được sử dụng trong bất kỳ cuộc tấn công thực tế nào.
Việc công bố này đánh dấu sự hợp tác công khai hiếm hoi giữa hai đối thủ lớn nhất trong ngành công nghiệp ví phần cứng. Ledger Donjon trước đây đã công bố nghiên cứu độc lập về các thiết bị Trezor, bao gồm một báo cáo về Trezor Safe 3 đã chứng minh một cuộc tấn công chặn vật lý kiểu chuỗi cung ứng. Trezor đã phản hồi vào thời điểm đó và cho biết không có tiền của người dùng nào bị xâm phạm.
Tropic Square tiếp thị TROPIC01 như một phần tử bảo mật mở và có thể kiểm toán, cho phép các nhà nghiên cứu kiểm tra phần cứng mà thông thường sẽ được giữ kín theo các thỏa thuận không tiết lộ. Phát hiện này cho thấy thử nghiệm mở có thể phát hiện ra điểm yếu trước khi các tác nhân độc hại làm được, đồng thời cũng nhấn mạnh rằng bảo mật ví phần cứng phụ thuộc vào thiết kế tổng thể của thiết bị chứ không phải bất kỳ thành phần đơn lẻ nào. Trezor cho biết người dùng không cần thực hiện bất kỳ hành động nào và nên tiếp tục mua thiết bị từ các kênh chính thức, giữ cho phần mềm cơ sở được cập nhật và bảo vệ các cụm từ khôi phục ngoại tuyến.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.
