Kripto para cüzdanı üreticisi Trezor, yeni Safe 7 cihazında kullanılan bir güvenlik çipinde zafiyet tespit edildiğini duyurdu. Şirket, buna karşın müşterilerin kripto varlıklarının güvende olduğunu, özel anahtarlar ile yedeklerin risk altında bulunmadığını ve kullanıcıların şu aşamada herhangi bir işlem yapmasına gerek olmadığını açıkladı.
Açığın kaynağı ve tespit süreci
Açığın, Trezor ile aynı grup içinde yer alan Tropic Square tarafından geliştirilen TROPIC01 adlı güvenlik çipini etkilediği belirtildi. Şirkete göre bulgu, Ledger’ın güvenlik araştırma ekibi Donjon tarafından yürütülen bağımsız inceleme sırasında ortaya çıkarıldı. Araştırma ekibinin, özel laboratuvar ekipmanları kullanarak çipin bazı koruma katmanlarını aşabildiği aktarıldı.
Mini sözlük: Donjon, Ledger bünyesinde çalışan bir donanım güvenliği araştırma ekibidir. Bu ekip, özellikle cüzdanlarda kullanılan çipler ve fiziksel saldırı senaryoları üzerinde testler yapmasıyla biliniyor.
Daha sonra Tropic Square, aynı çiple bağlantılı ikinci bir zayıflık daha saptadı. Bu zafiyetin, çip üzerinde tutulan ek bazı bilgilerin açığa çıkmasına yol açabileceği ifade edildi. Ancak Trezor, Safe 7 modelinin güvenliğinin tek bir bileşene dayanmadığını, birden fazla koruma katmanıyla tasarlandığını vurguladı.
Kullanıcı fonları için doğrudan risk görülmedi
Şirketin açıklamasına göre söz konusu açık, saldırganlara kullanıcıların kripto varlıklarına, özel anahtarlarına veya cüzdan yedeklerine doğrudan erişim sağlamıyor. Trezor, bu nedenle müşterilerin fonlarının güvende kaldığını ve mevcut durumda kullanıcı tarafında ek önlem gerektiren bir gelişme bulunmadığını bildirdi.
Trezor, tespit edilen zafiyetin kullanıcıların kripto varlıklarına, özel anahtarlarına ya da cüzdan yedeklerine erişim sağlamadığını, Safe 7’nin birden fazla güvenlik katmanıyla korunduğunu açıkladı.
Şirkete göre böyle bir saldırı girişiminin mümkün olabilmesi için saldırganın önce cihaza fiziksel olarak erişmesi, ardından pahalı laboratuvar ekipmanları kullanması ve ileri düzey teknik uzmanlığa sahip olması gerekiyor. Açığın gerçek dünyada kötüye kullanıldığına dair herhangi bir bulguya ise şu ana kadar rastlanmadı.
Sektörde şeffaf açıklama vurgusu
Trezor Üst Yöneticisi Matej Zak, güvenlik açığının bulunması, incelenmesi ve kamuoyuna açıklanmasında izlenen açık sürecin sektör için örnek oluşturması gerektiğini belirtti. Bu yaklaşım, donanım cüzdanı üreticileri arasında bağımsız güvenlik denetimlerinin ve sorumlu açıklama süreçlerinin önemini bir kez daha öne çıkardı.
Matej Zak, güvenlik açığının tespit edilmesi, analiz edilmesi ve kamuoyuyla paylaşılmasında izlenen açık yöntemin, sektörün benimsemesi gereken model olduğunu belirtti.
Trezor, açıklamayla birlikte olayın kapsamını sınırlı bir çerçevede tanımlarken, kullanıcı fonlarının korunmaya devam ettiğini yineledi. Şirketin verdiği bilgilere göre mevcut risk, belirli koşullar altında ve yüksek teknik imkan gerektiren fiziksel saldırı senaryolarıyla sınırlı görünüyor.
