Исследовательская команда Donjon компании Ledger выявила уязвимость в аппаратном чипе TROPIC01, который используется в кошельках Trezor Safe 7. Проблема позволяла обходить проверку цифровой подписи прошивки и запускать произвольный код на устройстве.
Новость быстро вызвала обсуждение в криптосообществе, однако речь не идет о массовом взломе кошельков или краже средств пользователей.
Где хранить крипту в 2026 году: биржа, кошелёк и безопасность крипто активов
Как работала уязвимость
Для эксплуатации специалисты Ledger применили метод Laser Fault Injection (LFI) — атаку с использованием высокоточного инфракрасного лазера.
В ходе эксперимента исследователи смогли заставить чип принять поддельную подпись как настоящую и выполнить загруженный код.
Что удалось сделать
| Параметр | Результат |
|---|---|
| Обход проверки подписи | ✅ Да |
| Запуск произвольного кода | ✅ Да |
| Получение приватных ключей | ❌ Нет |
| Доступ к seed-фразе | ❌ Нет |
| Кража средств пользователей | ❌ Нет |

Удалось ли получить доступ к средствам
Нет.
Ключевой вывод исследования заключается в том, что даже после обхода проверки подписи специалисты не смогли получить доступ к защищенным данным пользователей.
По данным Ledger, приватные ключи и сид-фразы остаются защищены дополнительными аппаратными механизмами безопасности.
«Средства пользователей остаются в безопасности, даже если устройство будет потеряно или украдено», — отметили исследователи Ledger.
Реакция Trezor
В Trezor подтвердили получение отчета и сообщили, что проблема уже устранена.
Компания подчеркнула, что для проведения подобной атаки злоумышленнику необходимы:
- физический доступ к устройству
- дорогостоящее лабораторное оборудование
- высокий уровень технической подготовки
«Взлом только этого уровня не даст злоумышленнику ни малейшего доступа к резервной копии или средствам пользователя», — заявили в Trezor.

Почему эта история важна
Несмотря на отсутствие прямой угрозы для пользователей, инцидент показывает высокий уровень исследований в сфере аппаратной безопасности криптокошельков.
Примечательно, что уязвимость обнаружил главный конкурент Trezor — компания Ledger. Вместо сокрытия проблемы стороны координировали раскрытие информации и работу над исправлением.
Это также подтверждает важность принципа открытого аудита безопасности, особенно для устройств, которые хранят криптоактивы на миллиарды долларов.
Что произошло с Zcash: как критическая уязвимость обрушила ZEC более чем на 50%
Итог
Уязвимость в Trezor действительно существовала, однако доказательств возможности кражи средств или компрометации приватных ключей обнаружено не было. Проблема уже устранена, а пользователям не требуется предпринимать дополнительных действий.
Скорее речь идет о показательном исследовании безопасности аппаратных кошельков, чем о реальной угрозе для владельцев устройств.
FAQ
Исследование касалось архитектуры безопасности устройств линейки Trezor Safe, включая Safe 7.
2. Можно ли было украсть криптовалюту через эту уязвимость?
На данный момент таких доказательств нет. Исследователи не смогли получить доступ к приватным ключам или сид-фразам.
3. Нужно ли обновлять кошелек?
Trezor уже устранила проблему. Дополнительных действий от пользователей не требуется.
4. Кто обнаружил уязвимость?
Исследовательская команда Donjon компании Ledger.
5. Насколько сложна такая атака?
Для нее требуется физический доступ к устройству, дорогостоящее оборудование и глубокие знания аппаратной безопасности.
Вопрос к читателям: Считаете ли вы аппаратные кошельки самым надежным способом хранения криптовалюты или подобные исследования заставляют пересмотреть подход к безопасности? Пишите в комментариях

Комментарии
Комментариев пока нет. Будьте первым!