De acordo com um relatório da Ledger divulgado em 12 de março, as carteiras de hardware mais recentes da Trezor, a Safe 3 e a Safe 5, apresentam sérios problemas de segurança.
O relatório afirmou que sua equipe de pesquisa de segurança, a Ledger Donjon, descobriu que esses dispositivos apresentavam diversas vulnerabilidades em seus microcontroladores, que poderiam permitir que hackers obtivessem acesso remoto aos fundos dos usuários.
As falhas persistem apesar da atualização da Trezor para um design de dois chips que inclui um Elemento Seguro com certificação EAL6+. Embora o Elemento Seguro proteja PINs e chaves privadas, o relatório da Ledger revela que todas as operações criptográficas ainda são realizadas no microcontrolador, que é vulnerável a ataques de oscilação de tensão.
Se explorada, essa vulnerabilidade permitiria que um atacantetracsegredos criptográficos, modificasse o firmware e burlasse as verificações de segurança, colocando em risco os fundos do usuário.
O novo design de segurança da Trezor não consegue proteger operações críticas
A Trezor lançou a Safe 3 no final de 2023, seguida pela Safe 5 em meados de 2024, e ambas as carteiras introduziram um design atualizado de dois chips, em um esforço para se afastar da arquitetura de chip único usada em modelos Trezor mais antigos.
A atualização também adicionou um elemento de segurança Optiga Trust M da Infineon, que será um chip de segurança dedicado para armazenar PINs e segredos criptográficos.
De acordo com as descobertas da Ledger, esse Elemento Seguro impede o acesso a dados confidenciais, a menos que o PIN correto seja inserido. Ele também bloqueia ataques de hardware, como falhas de tensão, que eram usados anteriormente para extrair trac -semente de modelos como Trezor One e Trezor T.
Mas, apesar dessas melhorias, a pesquisa da Ledger Donjon mostra que as principais funções criptográficas — incluindo a assinatura de transações — ainda ocorrem no microcontrolador, o que continua sendo uma grande vulnerabilidade de segurança.
O microcontrolador usado nos modelos Safe 3 e Safe 5 é identificado como TRZ32F429, que na verdade é um chip STM32F429 com encapsulamento personalizado.
Este chip possui vulnerabilidades conhecidas, especificamente explorações de falhas de tensão que permitem aos atacantes obter acesso total de leitura/gravação à memória flash.
Uma vez que um atacante modifique o firmware, ele poderá manipular a geração de entropia, que desempenha um papel fundamental na segurança criptográfica. Isso pode levar ao roubo remoto de chaves privadas, dando aos hackers acesso completo aos fundos do usuário.
O sistema de autenticação falha ao verificar a integridade do microcontrolador
A Trezor usa autenticação criptográfica para verificar seus dispositivos, mas a Ledger Donjon descobriu que esse sistema não verifica o firmware do microcontrolador.
O elemento seguro Optiga Trust M gera um par de chaves pública e privada durante a produção, e a Trezor assina a chave pública, incorporando-a em um certificado. Quando um usuário conecta sua carteira, o Trezor Suite envia um desafio aleatório que o dispositivo deve assinar usando sua chave privada. Se a assinatura for válida, o dispositivo é considerado autêntico.
Mas a pesquisa da Ledger mostra que esse processo verifica apenas o Elemento Seguro, não o microcontrolador ou seu firmware.
A Trezor tentou vincular o Elemento Seguro e o microcontrolador usando um segredo pré-compartilhado, programado em ambos os chips durante a fabricação. O Elemento Seguro só responderá às solicitações de assinatura se o microcontrolador comprovar o conhecimento desse segredo.
Qual é o problema? Esse segredo pré-compartilhado é armazenado na memória flash do microcontrolador, que é vulnerável a ataques de oscilação de tensão.
A equipe da Ledger conseguiutraco segredo, reprogramar o chip e burlar completamente o processo de autenticação. Isso significa que um invasor poderia modificar o firmware e ainda assim passar pelas verificações de segurança da Trezor.
O relatório da Ledger descreve como eles construíram uma placa de ataque personalizada, que permitiu acessar os pads do TRZ32F429 em conectores padrão.
Essa configuração permite que eles montem o microcontrolador em seu sistema de ataque,traco segredo pré-compartilhado e reprogramem o dispositivo sem serem detectados.
Uma vez reprogramado, o dispositivo ainda parecerá legítimo quando conectado ao Trezor Suite, visto que o sistema de autenticação criptográfica permanece inalterado.
Isso cria uma situação perigosa, onde carteiras Trezor Safe 3 e Safe 5 comprometidas podem ser vendidas como dispositivos genuínos, enquanto secretamente executam firmware malicioso que rouba fundos do usuário.
A validação do firmware é ignorada, deixando os usuários vulneráveis
A Trezor inclui uma verificação de integridade do firmware no Trezor Suite, mas a Ledger Donjon encontrou uma maneira de contornar completamente essa proteção.
A verificação de firmware funciona enviando um desafio aleatório ao dispositivo, que então calcula um hash criptográfico usando tanto o desafio quanto o seu firmware. O Trezor Suite verifica esse hash comparando-o com um banco de dados de versões de firmware genuínas.
À primeira vista, esse método parece bastante eficaz — um atacante não pode simplesmente inserir um hash falso diretamente no código, pois não conheceria o desafio aleatório com antecedência; portanto, o dispositivo precisa calcular o hash em tempo real, comprovando que está executando um firmware genuíno.
No entanto, a Ledger Donjon descobriu uma maneira de contornar completamente essa proteção. Como o microcontrolador lida com esse cálculo, um invasor pode modificar seu firmware para falsificar uma resposta válida.
Ao manipular a forma como o dispositivo calcula o hash, o atacante pode fazer com que qualquer versão de firmware pareça autêntica. Isso é um problema sério, pois permite que os atacantes executem software modificado e ainda assim passem pelas verificações do Trezor Suite.
Consequentemente, um dispositivo Trezor Safe 3 ou Safe 5 comprometido ainda poderia parecer legítimo enquanto secretamente vazava chaves privadas ou alterava dados de transações.
O relatório da Ledger conclui que a única maneira de garantir total segurança para o Safe 3 e o Safe 5 seria substituir o microcontrolador por uma alternativa mais segura. O Trezor Safe 5 inclui um microcontrolador mais moderno, o STM32U5, que não possui vulnerabilidades conhecidas de injeção de falhas — pelo menos por enquanto.
Mas, como ainda se trata de um microcontrolador padrão, e não de um Elemento Seguro dedicado, permanece o risco de que novos métodos de ataque possam ser descobertos.
A Trezor já corrigiu as vulnerabilidades, mas as preocupações de segurança subjacentes permanecem. Até que o próprio microcontrolador esteja totalmente seguro, os usuários terão que confiar nas proteções de software da Trezor, que, como a pesquisa da Ledger Donjon já comprovou, podem ser contornadas.
