Trezor表示，Ledger發現的Safe 7晶片漏洞對用戶資金不構成風險

Trezor 與 Tropic Square 披露了一個影響 TROPIC01 晶片的漏洞，該漏洞在 Ledger Donjon 進行的審計中被發現，同時強調 Safe 7 錢包仍受到保護，用戶資金不存在風險。

Trezor 與 Tropic Square 披露了一個影響 Trezor Safe 7 硬體錢包三個獨立安全層之一的漏洞，並表示該問題不會使用戶資產面臨風險。

根據 Trezor 提供的聲明，該漏洞是在競爭對手硬體錢包供應商 Ledger 的研究部門 Ledger Donjon 進行的獨立安全審查中被發現的。

Tropic Square 將受影響的 TROPIC01 安全元件晶片提供給 Ledger Donjon 進行獨立評估。Trezor 表示，即使 TROPIC01 遭到入侵，也難以獲取用戶的錢包、PIN 碼或資金，因為 Safe 7 錢包受到多個獨立安全機制的保護，包括一個額外的安全元件。

此次披露提供了一個難得的視角，讓外界了解硬體錢包製造商如何應對晶片層面的安全漏洞，並凸顯了獨立研究人員在評估和壓力測試加密貨幣託管硬體方面日益重要的作用。

安全漏洞在獨立測試過程中被發現

據 Trezor 表示，該漏洞是在 Tropic Square 於 2025 年初發布其 TROPIC01 安全元件後啟動的獨立安全評估中被發現的。

2026 年 1 月，Ledger Donjon 通知 Tropic Square，已成功對該晶片執行了一次激光故障注入攻擊，使研究人員能夠在受控實驗室環境中提取存儲在設備上的某些機密數據，並繞過固件簽名驗證。

在對 Ledger Donjon 的研究結果進行審查後，Tropic Square 的工程師發現了另一條潛在的漏洞利用路徑，可能暴露存儲在晶片上且與 PIN 相關操作關聯的額外機密。

該公司通知了包括 Trezor 在內的合作夥伴，並選擇與 Ledger Donjon 的研究結果一同公開披露該漏洞。

Trezor 表示用戶無需採取任何行動

Trezor 表示，用戶無需在此次披露後採取任何行動，並指出存儲在設備上的資金仍然安全，因為單獨入侵 TROPIC01 晶片不足以獲取錢包、PIN 碼或用戶資產。

由於該漏洞根植於硬體本身，無法通過遠端固件更新來解決。

「由於 Trezor Safe 7 採用了多個獨立安全層構建，TROPIC01 中的漏洞不會使用戶資金面臨風險，」Trezor 首席執行官 Matej Žák 表示。

Trezor 指出，Ledger Donjon 此前曾發布對其產品的獨立安全分析，包括一項針對 Trezor Safe 3 的研究，該研究展示了一種涉及實體供應鏈攔截、設備去焊接及硬體修改的攻擊方式，且發生在錢包到達終端用戶之前。

該公司當時發表了公開回應，此後持續加強針對類似攻擊方式的防護，並補充說明迄今未發現任何涉及用戶資金遭到入侵的案例。

Trezor 就 Safe 7 中另外兩枚晶片的審計詳情以及早期設備版本中的元件徵詢回應，但截至發稿時尚未收到任何回覆。