Default
Door Remote - 03 Jun 2026
In het kort
Bij een audit door het Ledger Donjon-team werd een hardwarekwetsbaarheid gevonden met betrekking tot de TROPIC01 Secure Element-chip van Trezor.
De aanval zou een van de drie ‘geheimen’ kunnen onthullen die de pincode van een gebruiker beschermen, waardoor de oorspronkelijke drie beschermingslagen van de portemonnee teruggebracht worden tot twee.
Om de exploit te kunnen uitvoeren, moet de aanvaller de portemonnee fysiek in bezit hebben, deze demonteren en gespecialiseerde laboratoriumapparatuur gebruiken.
Trezor heeft een kwetsbaarheid onthuld in zijn vlaggenschip Safe 7 hardware wallet, maar bevestigt dat gebruikersgelden “beschermd blijven” vanwege de aard van de exploit.
De kwetsbaarheid werd ontdekt tijdens een onafhankelijke beveiligingsaudit door het Ledger Donjon-team, dat een succesvolle "laserfoutinjectieaanval" op de TROPIC01 Secure Element-chip rapporteerde. Het stelt een aanvaller in staat één van de drie ‘geheimen’ te achterhalen die de pincode van een gebruiker beschermen, waardoor drie beschermingslagen effectief worden teruggebracht tot twee.
Tropic Square heeft een kwetsbaarheid onthuld in de TROPIC01 Secure Element-chip die wordt gebruikt in Trezor Safe 7. Deze is geïdentificeerd op basis van bevindingen uit de onafhankelijke audit van het Ledger Donjon-team.
Belangrijk: uw geld blijft veilig. Trezor Safe 7 is niet gehackt en jij...
— Trezor (@Trezor) 3 juni 2026
"De kwetsbaarheid betreft alleen de TROPIC01 Secure Element-chip, een van de drie fysieke, onafhankelijke beveiligingslagen. Het compromitteren van TROPIC01 alleen is niet voldoende om toegang te geven tot de pincode, die de laatste beschermingslaag voor uw geld is", aldus de blog van Trezor. "Het kan ook niet resulteren in het knoeien met Trezor Safe 7-apparaten met aanhoudende kwaadaardige firmware."
Het is vermeldenswaard dat Trezor zegt dat voor een dergelijke aanval fysiek bezit van de hardware wallet nodig is, dat de aanvaller deze uit elkaar moet halen en dat er gespecialiseerde laboratoriumapparatuur moet worden gebruikt. Als zodanig noemt Trezor de TROPIC01-chip nog steeds een ‘effectieve barrière’ van bescherming die ‘veel tijd en moeite kost om te exploiteren’, eraan toevoegend dat ‘het geld van gebruikers veilig blijft’.
Blockchain-beveiligingsbedrijf Cyvers herhaalde de inschatting van Trezor dat gebruikersgelden ‘veilig’ zijn, en vertelde Decrypt dat de aanval ‘zeer onpraktisch’ lijkt.
Hardware wallets, ook wel bekend als ‘cold’ wallets, slaan privésleutels offline op een fysiek apparaat op. Dit in tegenstelling tot hot wallets, zoals MetaMask, die de sleutels van de gebruiker opslaan op lokaal geïnstalleerde software of op cloudgebaseerde servers. In het geval van de Trezor Safe 7 portemonnee staat in de blogpost dat de sleutels van de gebruiker gelukkig niet in de TROPIC01-chip zijn opgeslagen.
Omdat de kwetsbaarheid hardwarematig is, kan de exploit helaas niet worden verholpen met een firmware-update. Trezor reageerde niet onmiddellijk op het verzoek van Decrypt om commentaar te geven op de vraag of het terugbetalingsverzoeken van klanten zal accepteren.
"De beveiliging van hardwareportemonnees moet niet alleen worden beoordeeld op basis van de vraag of een chip uiteindelijk in een laboratorium kan worden aangevallen", zegt Deddy Lavid, CEO van Cyvers, tegen Decrypt. "Voor de meeste gebruikers is het veel grotere risico nog steeds phishing, diefstal van zaadzinnen, kwaadaardige dApps en blind-signing-transacties die ze niet volledig begrijpen."
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Bij een audit door het Ledger Donjon-team werd een hardwarekwetsbaarheid gevonden met betrekking tot de TROPIC01 Secure Element-chip van Trezor.
De aanval zou een van de drie ‘geheimen’ kunnen onthullen die de pincode van een gebruiker beschermen, waardoor de oorspronkelijke drie beschermingslagen van de portemonnee teruggebracht worden tot twee.
Om de exploit te kunnen uitvoeren, moet de aanvaller de portemonnee fysiek in bezit hebben, deze demonteren en gespecialiseerde laboratoriumapparatuur gebruiken.
Trezor heeft een kwetsbaarheid onthuld in zijn vlaggenschip Safe 7 hardware wallet, maar bevestigt dat gebruikersgelden “beschermd blijven” vanwege de aard van de exploit.
De kwetsbaarheid werd ontdekt tijdens een onafhankelijke beveiligingsaudit door het Ledger Donjon-team, dat een succesvolle "laserfoutinjectieaanval" op de TROPIC01 Secure Element-chip rapporteerde. Het stelt een aanvaller in staat één van de drie ‘geheimen’ te achterhalen die de pincode van een gebruiker beschermen, waardoor drie beschermingslagen effectief worden teruggebracht tot twee.
Tropic Square heeft een kwetsbaarheid onthuld in de TROPIC01 Secure Element-chip die wordt gebruikt in Trezor Safe 7. Deze is geïdentificeerd op basis van bevindingen uit de onafhankelijke audit van het Ledger Donjon-team.
Belangrijk: uw geld blijft veilig. Trezor Safe 7 is niet gehackt en jij...
— Trezor (@Trezor) 3 juni 2026
"De kwetsbaarheid betreft alleen de TROPIC01 Secure Element-chip, een van de drie fysieke, onafhankelijke beveiligingslagen. Het compromitteren van TROPIC01 alleen is niet voldoende om toegang te geven tot de pincode, die de laatste beschermingslaag voor uw geld is", aldus de blog van Trezor. "Het kan ook niet resulteren in het knoeien met Trezor Safe 7-apparaten met aanhoudende kwaadaardige firmware."
Het is vermeldenswaard dat Trezor zegt dat voor een dergelijke aanval fysiek bezit van de hardware wallet nodig is, dat de aanvaller deze uit elkaar moet halen en dat er gespecialiseerde laboratoriumapparatuur moet worden gebruikt. Als zodanig noemt Trezor de TROPIC01-chip nog steeds een ‘effectieve barrière’ van bescherming die ‘veel tijd en moeite kost om te exploiteren’, eraan toevoegend dat ‘het geld van gebruikers veilig blijft’.
Blockchain-beveiligingsbedrijf Cyvers herhaalde de inschatting van Trezor dat gebruikersgelden ‘veilig’ zijn, en vertelde Decrypt dat de aanval ‘zeer onpraktisch’ lijkt.
Hardware wallets, ook wel bekend als ‘cold’ wallets, slaan privésleutels offline op een fysiek apparaat op. Dit in tegenstelling tot hot wallets, zoals MetaMask, die de sleutels van de gebruiker opslaan op lokaal geïnstalleerde software of op cloudgebaseerde servers. In het geval van de Trezor Safe 7 portemonnee staat in de blogpost dat de sleutels van de gebruiker gelukkig niet in de TROPIC01-chip zijn opgeslagen.
Omdat de kwetsbaarheid hardwarematig is, kan de exploit helaas niet worden verholpen met een firmware-update. Trezor reageerde niet onmiddellijk op het verzoek van Decrypt om commentaar te geven op de vraag of het terugbetalingsverzoeken van klanten zal accepteren.
"De beveiliging van hardwareportemonnees moet niet alleen worden beoordeeld op basis van de vraag of een chip uiteindelijk in een laboratorium kan worden aangevallen", zegt Deddy Lavid, CEO van Cyvers, tegen Decrypt. "Voor de meeste gebruikers is het veel grotere risico nog steeds phishing, diefstal van zaadzinnen, kwaadaardige dApps en blind-signing-transacties die ze niet volledig begrijpen."
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!