ترزور (Trezor) از آسیبپذیری در کیف پول سختافزاری پرچمدار خود یعنی Safe 7 پردهبرداری کرده است، اما تأیید میکند که وجوه کاربران به دلیل ماهیت این بهرهبرداری "محافظتشده باقی میماند".
این آسیبپذیری در طول یک ممیزی امنیتی مستقل توسط تیم Ledger Donjon کشف شد، که یک "حمله تزریق خطا با لیزر" موفقیتآمیز را علیه تراشه عنصر امن TROPIC01 گزارش داد. این حمله به مهاجم امکان میدهد تا یکی از سه "راز" که از پین کاربر محافظت میکند را استخراج کند و عملاً سه لایه محافظت را به دو لایه کاهش دهد.
Tropic Square disclosed a vulnerability in the TROPIC01 Secure Element chip used in Trezor Safe 7. It has been identified based on findings from the Ledger Donjon team's independent audit.
Important: Your funds remain safe and secure. Trezor Safe 7 has not been hacked, and you…
— Trezor (@Trezor) June 3, 2026
در وبلاگ ترزور آمده است: "این آسیبپذیری تنها مربوط به تراشه عنصر امن TROPIC01 است که یکی از سه لایه امنیتی فیزیکی و مستقل است. به خطر انداختن تنها TROPIC01 برای دسترسی به پین، که لایه نهایی محافظت برای وجوه شماست، کافی نیست." همچنین "نمیتواند منجر به دستگاههای Trezor Safe 7 دستکاری شده با فریمور مخرب پایدار شود."
شایان ذکر است که ترزور میگوید چنین حملهای نیازمند در اختیار داشتن فیزیکی کیف پول سختافزاری است تا مهاجم آن را از هم جدا کند و از تجهیزات آزمایشگاهی تخصصی استفاده کند. بنابراین، ترزور همچنان تراشه TROPIC01 را یک "مانع مؤثر" برای محافظت میداند که "برای بهرهبرداری نیاز به زمان و تلاش قابل توجهی دارد"، و اضافه میکند که "وجوه کاربران در امان میمانند."
شرکت امنیتی بلاکچین سایورز (Cyvers) نیز ارزیابی ترزور را مبنی بر "امن بودن" وجوه کاربران تکرار کرد و به Decrypt گفت که این حمله "بسیار غیرعملی" به نظر میرسد.
کیف پولهای سختافزاری، که به عنوان کیف پولهای "سرد" نیز شناخته میشوند، کلیدهای خصوصی را به صورت آفلاین بر روی یک دستگاه فیزیکی ذخیره میکنند. این در تضاد با کیف پولهای گرم، مانند متامسک، است که کلیدهای کاربر را در نرمافزار نصبشده محلی یا بر روی سرورهای مبتنی بر ابر ذخیره میکنند. در مورد کیف پول Trezor Safe 7، در پست وبلاگ آمده است که خوشبختانه کلیدهای کاربر در تراشه TROPIC01 ذخیره نمیشوند.
متأسفانه، به دلیل سختافزاری بودن این آسیبپذیری، نمیتوان آن را با بهروزرسانی فریمور (firmware) وصله زد. ترزور بلافاصله به درخواست Decrypt برای اظهارنظر در مورد اینکه آیا درخواستهای بازپرداخت از مشتریان را میپذیرد، پاسخ نداد.
دددی لاوید، مدیرعامل سایورز، به Decrypt گفت: "امنیت کیف پول سختافزاری نباید تنها با این معیار که آیا یک تراشه میتواند در نهایت در آزمایشگاه مورد حمله قرار گیرد، ارزیابی شود." وی افزود: "برای اکثر کاربران، ریسک بسیار بزرگتر همچنان فیشینگ، سرقت عبارت بازیابی (seed phrase)، برنامههای غیرمتمرکز (dApps) مخرب، و امضای کورکورانه تراکنشهایی است که به طور کامل درک نمیکنند."
