Kripto para cüzdanı üreticisi Trezor, yeni çıkardığı Safe 7 modelinde kullanılan bir güvenlik çipinde zafiyet olduğunu duyurdu. Ancak şirket, kullanıcıların kripto varlıklarının güvende olduğunu ifade ederek, özel anahtarların ve yedeklerin risk altında olmadığını belirtti.
Çipteki Hatalar ve İnceleme Süreci
Açığın kaynağı, Tropic Square tarafından geliştirilen TROPIC01 güvenlik çipine dayanıyor. Ledger’ın güvenlik ekibi Donjon, yaptığı bağımsız araştırma ile bu açığı ortaya çıkardı. Bu süreçte ekip, özel laboratuvar ekipmanları kullanarak çipteki bazı koruma katmanlarını aşmayı başardı.
Bu gelişmenin ardından Tropic Square, çiple ilgili ikinci bir zayıflıklık daha keşfetti. Çip üzerinde saklanan ek bilgilerin açığa çıkabileceği belirlenirken, Trezor’un cihazının birden fazla güvenlik katmanı barındırdığı ifade edildi. Şirket, bu sebeple kullanılan çipin tek başına cihazın güvencesi olmadığını vurguladı.
Kullanıcı Güvenliğine Yönelik Doğrudan Bir Tehdit Yok
Trezor, mevcut açık nedeniyle kullanıcıların kripto varlıklarının, özel anahtarların veya cüzdan yedeklerinin doğrudan tehlikede olmadığını belirtmiştir.
Trezor, tespit edilen zafiyetin kullanıcıların kripto varlıklarına, özel anahtarlarına ya da cüzdan yedeklerine erişim sağlamadığını, Safe 7’nin birden fazla güvenlik katmanıyla korunduğunu açıkladı.
Potansiyel bir saldırı için belirli koşullar gerekiyor; saldırganın cihaza fiziksel erişim sağlaması, pahalı ekipmanlar kullanması ve ileri teknik bilgiye sahip olması gerekmekte. Bu ana kadar açığın gerçek dünyada istismar edildiğine dair bir kanıt bulunmuyor.
Güvenlik Açıklıklarında Şeffaflık
Trezor’un CEO’su Matej Zak, güvenlik açığının tespiti, incelenmesi ve açıklanmasının alandaki diğer şirketlere örnek teşkil etmesi gerektiğini belirtiyor.
Matej Zak, güvenlik açığının tespit edilmesi, analiz edilmesi ve kamuoyuyla paylaşılmasında izlenen açık yöntemin, sektörün benimsemesi gereken model olduğunu belirtti.
Trezor, kullanıcı varlıklarının halen güvende olduğunu ve olayın kapsamının sınırlı olduğunu yineliyor. Şirket, zafiyetin belirli koşullar altında ve yüksek teknik beceri gerektiren durumlarla sınırlı olduğunu ifade ediyor.
