Trezor, Ledger'ın Donjon güvenlik araştırma ekibinin silikon üzerinde başarılı bir laboratuvar saldırısı gerçekleştirmesinin ardından yeni Safe 7 donanım cüzdanında kullanılan TROPIC01 çipindeki bir güvenlik açığını duyurdu. Çipin kendisi Trezor'un kardeş şirketi Tropic Square tarafından üretildi ve bulgular Çarşamba günü e-posta yoluyla yapılan bir açıklamayla yayımlandı. Tropic Square daha sonra çip üzerinde depolanan ek bilgileri açığa çıkarabilecek ilgili bir zayıflık daha tespit etti.
Kullanıcılar için rahatlatıcı ayrıntı şu: açık, çok katmanlı bir güvenlik yığınının tek bir katmanında yer alıyor ve Trezor, saldırganlara özel anahtarlara, cüzdan yedeklerine veya cihaz üzerindeki kripto varlıklarına erişim sağlamadığını belirtti. Safe 7, tek bir çip ihlalinin fonları boşaltmaya yetmeyeceği şekilde tasarlandı — yapısal bir tercih olan bu karar, şimdi kamusal alanda bir stres testine tabi tutuluyor.
Neden önemli
Bu açıklama, iki rakip donanım cüzdanı üreticisi — Trezor ve Ledger — arasındaki nadir bir işbirliği örneği olarak öne çıkıyor; zira taraflar açığı pazarlama malzemesi yapmak yerine birlikte ele almayı tercih etti. Ağırlıklı olarak rakip cihazlardaki açıkları bulmakla tanınan Ledger'ın Donjon ekibi, TROPIC01'in bazı korumalarını atlatmak için özel laboratuvar ekipmanı kullandı ve Trezor sonucu tüm teknik ayrıntılarıyla yayımladı.
Bu tutum, çipin kendisinden daha fazla önem taşıyor. Donanım cüzdanı alıcıları, markalar arasındaki rekabeti uzun süredir güvenliğin bir vekili olarak değerlendirdi: her kamusal açık, marka değiştirme önerisi olarak okundu. Açığı zamanında duyurarak ve rakip araştırmacıya kredi vererek Trezor, bunun tersini savunuyor — kullanıcı fonlarını güvende tutan şeyin pazarlama iddiası değil, denetim hattı olduğunu öne sürüyor.
Piyasa etkisi
Pratikte istismar penceresi oldukça dar: bir saldırganın Safe 7'ye fiziksel olarak sahip olması, pahalı laboratuvar ekipmanına erişmesi ve ileri düzeyde teknik uzmanlığa sahip olması gerekir; açığın herhangi bir gerçek cihaza karşı kullanıldığına dair herhangi bir kanıt bulunmuyor. Kullanıcıların büyük çoğunluğu için bu risk, gümrükteki tedarik zinciri müdahalesiyle aynı kategoriye giriyor — kâğıt üzerinde gerçek, sahada son derece nadir.
İzlenecek bir sonraki adım Tropic Square'in azaltma yol haritası. Eğer bir firmware veya silikon revizyonu hızla gelirse ve bu açıklama tek kamusal kayıt olarak kalırsa, Safe 7'nin itibarı bu haberi sorunsuz bir şekilde atlatır.
Sıkça sorulan sorular
-
Trezor Safe 7 açığı şu anda kullanıcı kriptolarını riske atıyor mu?
Trezor hayır diyor. Açık TROPIC01 güvenlik çipinde bulunuyor; ancak Safe 7 birden fazla güvenlik katmanına dayanıyor ve şirket, saldırganların bu açığı istismar etmek için hâlâ fiziksel erişim, özel laboratuvar ekipmanı ve ileri düzey uzmanlığa ihtiyaç duyacağını belirtti.
-
TROPIC01 çipi tam olarak nedir ve onu kim üretiyor?
TROPIC01, Trezor'un kardeş şirketi Tropic Square tarafından geliştirilen bir güvenlik çipidir. Yeni Safe 7 donanım cüzdanının içinde kullanılıyor ve Ledger'ın Donjon ekibinin laboratuvar saldırısında hedef aldığı silikon katmanı oluşturuyor.
-
Ledger'ın Donjon ekibi bu açığı nasıl buldu?
Ledger'ın Donjon güvenlik araştırma ekibi, bağımsız bir denetim sırasında TROPIC01'in bazı korumalarını atlatmak için özel laboratuvar ekipmanı kullandı. Trezor, rakip araştırmacının bulgularına kredi verdi ve açıklamayı Çarşamba günü eksiksiz biçimde yayımladı.
-
Safe 7 açığı gerçek kullanıcılara karşı istismar edildi mi?
Trezor, açığın gerçek dünyada istismar edildiğine dair herhangi bir kanıt bulunmadığını söyledi. Açıklama yalnızca kontrollü bir laboratuvar saldırısını tanımlıyor ve ele geçirilmiş herhangi bir cihaz bildirilmedi.
-
Bu açıklamanın ardından Trezor Safe 7 için sırada ne var?
Tropic Square'in açığı gidermesi bekleniyor; izlenecek unsur, bir firmware veya silikon revizyonunun bu açıklamayı tek seferlik bir olay olarak tutacak kadar hızlı gelip gelmeyeceği. İlgili zayıflık daha geniş bir yan kanal sorunları sınıfına dönüşürse, asıl soru Trezor'un çip sorumluluklarını nasıl ayrıştırdığı…
CoinDesk