Ledger发布了一份详细的安全报告，分析最新的Trezor Safe 3和Safe 5硬件钱包，强调了与之前Trezor型号相比，安全性有显著提升。

然而，尽管这些进步，Ledger警告称新设备仍然容易受到特定的供应链攻击，这主要是由于它们在加密操作中依赖微控制器。

Ledger对Trezor Safe设备的安全分析

自成立以来，Ledger Donjon积极开展对各种硬件钱包的开放安全研究，包括以前的Trezor型号，如Trezor One和Trezor T。

这些早期设备因依赖标准微控制器而被发现高度易受物理种子恢复攻击，这些微控制器并未设计以抵御诸如电压故障等硬件攻击。

2023年晚些时候发布的Trezor Safe 3以及2024年中期发布的Safe 5，标志着Trezor的一次重大安全升级。

与其前身不同，新型号采用了经过EAL6+认证的安全元件和微控制器。

据Ledger首席技术官Charles Guillemet称，安全元件现在处理PIN验证和密钥存储，使得攻击者更难通过常规手段提取用户的私钥。

尽管有这些改进，Ledger的研究发现这些设备仍然存在潜在的弱点。

具体来说，所有加密操作，如交易签名，仍然在易受固件操控的微控制器上进行。

如果攻击者在制造或运输过程中获得对设备的访问（即供应链攻击），他们可以修改运行在微控制器上的软件，在设备到达用户之前就妥协了该设备。

Ledger的报告详细阐述了这些发现的含义，明确指出这种攻击可能导致用户资金的完全远程盗取而用户毫不知情，即便他们认为自己的硬件钱包是安全的。

供应链攻击的风险和影响

Ledger研究的一个关键焦点是供应链攻击所带来的风险。Trezor Safe 3和Safe 5型号的一个根本问题是它们的固件完整性验证方法。

这些设备内部的安全元件确保PIN保护保持强大，但并不证明微控制器上运行固件的真实性。

Ledger的分析发现，Trezor Safe设备使用的微控制器，标记为TRZ32F429（定制的STM32F429芯片），易受到电压故障攻击。

这使得熟练的攻击者能够读取和修改存储在设备闪存中的固件。

由于Trezor在安全元件与微控制器之间依赖共享秘密来验证真实性，攻击者可以通过故障攻击提取该秘密，并在向用户表现真实的情况下重新编程设备。

这意味着，如果攻击者在生产或分销过程中潜入供应链，他们可能会植入恶意固件，表面上功能正常，但秘密地暴露用户密钥或修改交易细节。

与直接的物理攻击不同，后者需要对手手中掌握钱包，供应链攻击则可能在设备到达客户之前就大规模妥协设备。

Trezor保证资金安全

在Ledger的报告发布后，用户开始询问他们的资金是否安全，以及这一发现是否会影响他们的安全性。

在X平台上回应类似用户的请求时，Trezor团队评论称，资金是安全的，发现的利用是已知的攻击。

然而，一些人质疑为什么既然已知却没有被修补。此最新发现正值2024年1月的一份报告披露近66,000名Trezor用户的联系信息暴露之后。

截至目前，Trezor团队尚未对该报告作出任何正式评论，但Trezor用户急于了解团队会如何回应或如何推出修补措施。