Недавнее исследование компании Ledger выявило уязвимость в чипе TROPIC01, который используется в аппаратных кошельках Trezor Safe 7. Несмотря на тревожные новости, представители Trezor уверяют, что средства пользователей находятся под надежной защитой. В данной статье мы рассмотрим, что такое TROPIC01, в чем заключается проблема и как это может повлиять на пользователей.
Что такое чип TROPIC01?
TROPIC01 — это высокозащищенный микрочип, предназначенный для хранения конфиденциальной информации. Он разрабатывается компанией Tropic Square и выгодно отличается открытым исходным кодом.
- Функция микрочипа: Основное назначение TROPIC01 заключается в обеспечении безопасности данных пользователей.
- Открытый исходный код: Это предоставляет возможность независимым экспертам проводить аудит и улучшать безопасность чипа.
Методы атаки на TROPIC01
Исследователи из Donjon использовали метод Laser Fault Injection (LFI) для обхода проверки цифровой подписи. Это позволило им отправить произвольный код на чип.
- Технические детали: Атакующие направили инфракрасный лазер на кремниевый кристалл за доли секунды до завершения проверки подписи.
- Пример успешной атаки: Эксперты отправили код, который активировал ответ "HACK", демонстрируя уязвимость системы.
Реакция компании Trezor
Trezor уверяет своих пользователей, что взлом данного уровня не даст злоумышленникам доступа к средствам или резервным копиям. Чип TROPIC01 — лишь один из трех уровней защиты устройства.
- Система безопасности: Помимо TROPIC01, используются два других компонента: OPTIGA Trust M (V3) и основной микроконтроллер STM32U5.
- Обеспечение безопасности: Эти уровни защиты работают совместно для проверки PIN-кодов и аутентификации устройства.
Будущее безопасности чипа TROPIC01
Tropic Square уже работает над новой версией микрочипа, которая закроет выявленные уязвимости. Ожидается, что обновленная версия поступит в продажу в конце 2026 года.
- Подход компании: Tropic Square проводит внутренний анализ для выявления архитектурных уязвимостей и их устранения.
- Ожидания от нового отчета: Полный отчет по уязвимости станет доступен весной 2027 года.
"Эти глубокие исследования аппаратного обеспечения делают следующее поколение более надежным," — отметила компания Cyvers. Важно следить за развитием ситуации и поддерживать осведомленность о новых угрозах кибербезопасности.
