Ledger mengungkap cacat pada chip Trezor Safe 7 dalam audit, kunci privat tidak terpengaruh

Menurut Cryptopolitan pada 4 Juni, tim riset keamanan Donjon milik Ledger, saat melakukan audit independen terhadap wallet perangkat keras Trezor Safe 7, menggunakan teknik injeksi gangguan laser untuk melewati proses verifikasi tanda tangan pada chip elemen keamanan internal TROPIC01-nya. Trezor mengonfirmasi bahwa dana pengguna dan kunci privat tidak terpengaruh.

Serangan Injeksi Gangguan Laser: Metode Teknis yang Dikonfirmasi dan Temuan Donjon

Peneliti Donjon membuka kemasan chip TROPIC01, lalu menyinari chip dengan laser inframerah secara presisi untuk mengganggu proses verifikasi tanda tangannya, sehingga memungkinkan kode yang tidak berizin untuk dijalankan pada chip tertentu.

Setelah menerima hasil investigasi dari Donjon, insinyur milik Tropic Square menemukan jalur serangan yang relevan, yang dapat mengekstrak rahasia lain yang terkait dengan fungsi perlindungan PIN pada chip. Tropic Square sebelumnya menyediakan sampel chip komersial kepada Donjon untuk evaluasi, dan pengungkapan kali ini mengikuti proses pengungkapan kerentanan yang bertanggung jawab.

Pemanfaatan nyata atas celah ini memerlukan: kepemilikan fisik atas perangkat, melakukan pembongkaran fisik, membuka kemasan chip dari bagian belakang, serta menggunakan perangkat injeksi gangguan laser khusus. CEO perusahaan keamanan blockchain Cyvers, Deddy Lavid, menyatakan bahwa serangan semacam ini dalam praktiknya “sangat tidak realistis”, dan menambahkan bahwa bagi kebanyakan pengguna, phishing, pencurian frasa sandi, dan blind signing merupakan ancaman yang jauh lebih besar.

Pertanyaan yang Sering Diajukan

Apakah pengguna Trezor Safe 7 yang sudah ada perlu segera melakukan tindakan apa pun?

Berdasarkan pernyataan resmi Trezor, pengguna yang sudah ada tidak perlu melakukan tindakan apa pun. Kerentanan berada pada lapisan perangkat keras TROPIC01 dan tidak dapat diperbaiki melalui pembaruan perangkat lunak, tetapi Tropic Square menyatakan sedang memproduksi versi baru chip yang menambal kerentanan tersebut. Trezor juga mengonfirmasi bahwa kunci privat dan cadangan dompet tidak disimpan pada chip TROPIC01 yang terdampak.

Apa keunikan chip TROPIC01, dan mengapa hal ini patut diperhatikan?

TROPIC01 dirancang oleh Tropic Square, dan digambarkan sebagai chip elemen keamanan pertama yang secara bersamaan membuka desain perangkat keras dan kode sumber firmware. Chip ini memiliki karakteristik arsitektur keamanan berbasis open source. Ledger Donjon melakukan audit pihak ketiga independen, sementara Tropic Square secara proaktif menyediakan sampel chip komersial untuk evaluasi. Penemuan celah kali ini termasuk dalam proses pengungkapan yang bertanggung jawab yang didorong oleh riset keamanan terbuka.

Ledger dan Trezor adalah pesaing langsung; apakah audit ini memiliki konflik kepentingan?

Ledger Donjon adalah bagian penelitian keamanan milik Ledger. Ledger dan Trezor memiliki hubungan kompetisi langsung di pasar wallet perangkat keras. Audit kali ini adalah proyek evaluasi yang diberi wewenang oleh Tropic Square—Tropic Square secara proaktif menyediakan sampel chip komersial kepada Donjon. Donjon kemudian melaporkan hasil investigasinya kepada Tropic Square pada akhir Januari 2026 melalui proses pengungkapan yang bertanggung jawab secara resmi, dan kedua perusahaan selanjutnya mengungkapkan temuan ini secara bersama-sama.