Inihayag ng Trezor ang isang vulnerability sa flagship nitong Safe 7 hardware wallet, ngunit pinatutunayan na ang pondo ng user ay "nananatiling protektado" dahil sa katangian ng exploit.
Ang vulnerability ay natuklasan sa panahon ng isang independiyenteng security audit ng Ledger Donjon team, na nag-ulat ng isang matagumpay na "laser fault injection attack" laban sa TROPIC01 Secure Element chip. Nagbibigay-daan ito sa isang attacker na makakuha ng isa sa tatlong "lihim" na nagpoprotekta sa PIN ng isang user, na epektibong nagpapababa ng tatlong layer ng proteksyon sa dalawa.
Inihayag ng Tropic Square ang isang vulnerability sa TROPIC01 Secure Element chip na ginagamit sa Trezor Safe 7. Natukoy ito batay sa mga natuklasan mula sa independiyenteng audit ng Ledger Donjon team.
Mahalaga: Mananatiling ligtas at secure ang iyong mga pondo. Hindi na-hack ang Trezor Safe 7, at ikaw…
— Trezor (@Trezor) June 3, 2026
"Ang vulnerability ay tungkol lamang sa TROPIC01 Secure Element chip, isa sa tatlong pisikal, independiyenteng layer ng seguridad. Ang pagkompromiso sa TROPIC01 lamang ay hindi sapat upang makakuha ng access sa PIN, na siyang huling layer ng proteksyon para sa iyong mga pondo," ayon sa blog ng Trezor. "Hindi rin ito magreresulta sa mga binagong Trezor Safe 7 device na may persistent malicious firmware."
Kapansin-pansin na sinabi ng Trezor na ang ganoong atake ay nangangailangan ng pisikal na pagmamay-ari ng hardware wallet, upang kalasin ito ng attacker, at gumamit ng espesyal na kagamitan sa laboratoryo. Dahil dito, tinatawag pa rin ng Trezor ang TROPIC01 chip na isang "epektibong hadlang" ng proteksyon na "nangangailangan ng malaking oras at pagsisikap upang ma-exploit," idinagdag na "mananatiling ligtas ang pondo ng mga user."
Sinang-ayunan ng blockchain security firm na Cyvers ang pagtatasa ng Trezor na ang pondo ng user ay "ligtas," sinabi nito sa Decrypt na ang atake ay mukhang "lubhang hindi praktikal."
Ang mga hardware wallet, na kilala rin bilang "cold" wallets, ay nag-iimbak ng mga private key offline sa isang pisikal na device. Ito ay kabaligtaran sa mga hot wallet, tulad ng MetaMask, na nag-iimbak ng mga key ng user sa locally installed software o sa cloud-based servers. Sa kaso ng Trezor Safe 7 wallet, sinabi ng blog post na ang mga key ng user ay sa kabutihang-palad ay hindi nakaimbak sa TROPIC01 chip.
Sa kasamaang-palad, dahil sa ang vulnerability ay hardware-based, hindi maaring maayos ang exploit sa pamamagitan ng firmware update. Hindi agad tumugon ang Trezor sa kahilingan ng Decrypt para sa komento kung tatanggap ito ng mga refund request mula sa mga customer.
"Ang seguridad ng hardware wallet ay hindi dapat suriin lamang sa kung ang isang chip ay maaaring atakehin sa isang lab," sabi ni Deddy Lavid, CEO ng Cyvers, sa Decrypt. "Para sa karamihan ng mga user, ang mas malaking panganib ay nananatiling phishing, seed phrase theft, malisyosong dApps, at blind-signing ng mga transaksyon na hindi nila lubos na nauunawaan."
