Компания Trezor и разработчик чипов Tropic Square раскрыли информацию об уязвимости в микросхеме TROPIC01, которую выявила команда белых хакеров Ledger Donjon из конкурирующего производителя аппаратных кошельков Ledger. Несмотря на возможность извлечения части секретов чипа при помощи лазерной инжекции ошибок в лабораторных условиях, пользовательские средства остаются в полной безопасности благодаря трём независимым аппаратным уровням защиты в кошельке Trezor Safe 7.
Уязвимость была обнаружена в ходе независимого аудита, на который Tropic Square добровольно предоставила образец TROPIC01 исследователям Ledger Donjon. Атака с лазерной инжекцией ошибок, о которой сообщили ещё в январе 2026 года, позволяет обойти проверку подписи прошивки и получить доступ к некоторым внутренним секретам чипа, однако для её проведения необходим физический доступ к устройству и специализированное лабораторное оборудование. Позднее специалисты Tropic Square нашли ещё один способ эксплуатации той же слабости, потенциально раскрывающий секрет, связанный с функциями PIN-кода.
Генеральный директор Trezor Матей Жак подчеркнул: «Поскольку Trezor Safe 7 построен на нескольких независимых уровнях безопасности, компрометация одного только TROPIC01 не даёт злоумышленнику доступа к PIN-коду, кошельку или средствам пользователя». Аппаратный характер проблемы не позволяет исправить её обычным обновлением прошивки, но Trezor не требует от владельцев никаких действий и подтверждает, что кошелёк Safe 7 не был взломан.
Архитектура Safe 7 сочетает три микросхемы: TROPIC01, OPTIGA Trust M и STM32U5, которые совместно защищают проверку PIN-кода, подлинность устройства и процесс создания кошелька. Публичное раскрытие уязвимости стало очередным подтверждением эффективности открытой модели безопасности, когда исследователи могут проверять аппаратные решения до того, как уязвимостью воспользуются злоумышленники. Инцидент также напоминает, что надёжность аппаратного кошелька определяется всей конструкцией устройства, а не единственным чипом, и что пользователям следует приобретать устройства только через официальные каналы, регулярно обновлять прошивку и беречь seed-фразу офлайн.
