Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Ledger-Forscher entdecken Chipfehler im Trezor Safe 7, Kundengelder sind aber nicht gefährdet
- Das Donjon-Sicherheitsteam von Ledger nutzte Laser-Fehlerinjektion, um die Signaturprüfung auf dem TROPIC01-Chip in der Trezor Safe 7 Hardware-Wallet zu umgehen.
- Tropic Square entdeckte einen verwandten Angriff, mit dem ein weiteres PIN-bezogenes Geheimnistracwerden könnte.
- Trezor versichert, dass die Gelder der Nutzer und ihre privaten Schlüssel nicht gefährdet sind, da der Chip nur eine von drei unabhängigendent darstellt.
Trezor und der Chiphersteller Tropic Square haben eine Hardware-Schwachstelle im TROPIC01 Secure Element Chip aufgedeckt, der in der Trezor Safe 7 Wallet verwendet wird.
Die Sicherheitslücke wurde im Rahmen einer unabhängigendent durch das Sicherheitsforschungsteam Donjon des Konkurrenten Ledger entdeckt. Trezor versichert bisher, dass weder Kundengelder noch private Schlüssel kompromittiert wurden.
Was ergab die Prüfung von Trezor durch Ledger?
Forscher des Donjon-Teams von Ledger, der Sicherheitsabteilung des direkten Konkurrenten Trezor, entdeckten bei einem Audit eine Schwachstelle im Secure-Element-Chip TROPIC01. Dieser Chip wird von Tropic Square, einem Schwesterunternehmen von Trezor, hergestellt und gilt als erster Secure-Element-Chip, dessen Hardware-Design und Firmware-Quellcode öffentlich zugänglich sind.
Die Forscher nutzten eine Hightech-Methode namens Laser-Fehlerinjektion. Sie öffneten das Chipgehäuse und beschossen das Silizium mit einem präzisen Infrarotlaser, um den Signaturprüfungsprozess zu stören. Dadurch konnten sie ihren eigenen, nicht autorisierten Code auf dem betreffenden Chip ausführen.
Tropic Square stellte Donjon Muster von kommerziellen Chips zur Verfügung, um diese zu evaluieren, und das Team meldete den Fehler Ende Januar 2026.
Nachdem die Ingenieure von Tropic Square die Ergebnisse von Donjon erhalten hatten, entdeckten sie einen verwandten Angriffspfad, mit dem sich ein weiteres Geheimnistracließ, das mit den PIN-Schutzfunktionen des Chips zusammenhängt.
Was können Tropic Square oder Trezor tun, um die Sicherheit der Nutzer zu erhöhen?
Da die Sicherheitslücke auf Hardwareebene liegt, kann sie nicht per Software-Update für bestehende Safe 7-Geräte behoben werden, bestätigte Trezor. Tropic Square gab an, bereits eine neue Chip-Charge zu produzieren, die den Fehler behebt. Nutzer müssen jedoch nichts unternehmen.
Das Unternehmen betonte , dass Safe 7 drei unabhängige physische Sicherheitsebenen nutztdent der TROPIC01-Chip nur eine davon ist. Private Schlüssel und Wallet-Backups werden nicht auf dem betroffenen Chip gespeichert.
Die Ausnutzung der Schwachstelle erfordert zudem den physischen Besitz des Geräts, die Demontage, die rückseitige Entkapselung des Chipgehäuses und den Zugang zu speziellen Laser-Fehlerinjektionsgeräten.
Das Blockchain-Sicherheitsunternehmen Cyvers erklärte, der Angriff erscheine für den realen Einsatz „höchst unpraktisch“. „Die Sicherheit von Hardware-Wallets sollte nicht allein danach beurteilt werden, ob ein Chip im Labor angegriffen werden kann“, so Cyvers-CEO Deddy Lavid. Seiner Ansicht nach stellen Phishing, der Diebstahl von Seed-Phrasen und Blindsigning weitaus größere Bedrohungen für die meisten Nutzer dar.
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
Häufig gestellte Fragen
Wurde der Trezor Safe 7 gehackt?
Nein. Die Sicherheitslücke betrifft laut Trezor lediglich den TROPIC01 Secure Element Chip, eine von drei physischen Sicherheitsebenen des Geräts, und ermöglicht einem Angreifer keinen Zugriff auf private Schlüssel, Wallet-Backups oder die Benutzer-PIN.
Müssen Besitzer eines Trezor Safe 7 irgendetwas tun?
Laut Trezor sind keine Maßnahmen erforderlich. Der Angriff erfordert physischen Besitz, Demontage und teure Laborausrüstung, und es wurden keine Fälle von Ausnutzung in der Praxis gemeldet.
Lässt sich die Sicherheitslücke durch ein Software-Update beheben?
Nein. Da der Fehler auf Hardwareebene liegt, können bestehende Safe-7-Geräte nicht per Fernzugriff aktualisiert werden. Tropic Square gab bekannt, dass eine neue Charge von TROPIC01-Chips hergestellt wird, die das Problem behebt.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Hannah Collymore
Hannah ist Autorin und Redakteurin mit fast zehn Jahren Erfahrung im Bloggen und der Eventberichterstattung im Kryptobereich. Bei Cryptopolitanschreibt sie für die Nachrichtenseite und berichtet und analysiert die neuesten Entwicklungen in den Bereichen DeFi, RWA, Kryptoregulierung, KI und Zukunftstechnologien. Sie hat an der Arcadia University Betriebswirtschaftslehre studiert.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)