Concurrent Ledger ontdekt kwetsbaarheid in nieuwe Trezor-wallet

woensdag, 3 juni 2026 (17:40) - Newsbit.nl

In dit artikel:

Trezor heeft bij de nieuwe Safe 7 een kwetsbaarheid in de TROPIC01 Secure Element-chip ontdekt nadat concurrent Ledger’s beveiligingsteam Ledger Donjon die chip onafhankelijk onderzocht. De fout zit in de fysieke chip (gemaakt door Tropic Square) die bedoeld is om cryptografische sleutels en andere gevoelige data te beschermen. Onder laboratoriumomstandigheden voerde Ledger Donjon een geavanceerde laserinjectieaanval uit waarmee onderzoekers bepaalde geheime gegevens uit de chip konden halen en firmwarehandtekeningen konden omzeilen. Tropic Square vond later nog een aanvullende aanvalsvector die mogelijk informatie rond pincodefuncties blootlegt.

Trezor benadrukt dat gebruikersfondsen niet direct in gevaar zijn: de TROPIC01 vormt slechts één schakel in meerdere, onafhankelijke beveiligingslagen van de Safe 7. Een aanvaller zou volgens het bedrijf meerdere beschermingslagen moeten doorbreken om toegang te krijgen tot een wallet, pincode of de cryptotegoeden zelf. Trezor-topman Matej Žák stelde daarover: "De Trezor Safe 7 is gebouwd met meerdere onafhankelijke beveiligingslagen. Daardoor brengt een kwetsbaarheid in de TROPIC01-chip de tegoeden van gebruikers niet in gevaar." Gebruikers hoeven volgens het bedrijf geen actie te ondernemen.

Omdat het lek op hardwareniveau zit, is het niet te verhelpen met een firmware-update; de kwetsbaarheid is fysiek in de chip aanwezig. Desondanks blijven de overige beveiligingsmechanismen van de Safe 7 volgens Trezor functioneren en de tegoeden beschermen.

De gezamenlijke openbaarmaking door Trezor, Tropic Square en Ledger geeft een zeldzaam kijkje in hoe fabrikanten met chipniveau-kwetsbaarheden omgaan — zulke bevindingen worden normaal weinig gedeeld. De TROPIC01 verscheen begin 2025; Ledger Donjon rapporteerde zijn bevindingen in januari 2026 en partners werden direct ingelicht, waarna besloten is de resultaten publiekelijk te maken om transparantie binnen de sector te bevorderen.

Dit is niet de eerste keer dat Ledger Donjon onderzoek doet naar Trezor-hardware; eerder werd al een aanval op de Trezor Safe 3 gedocumenteerd. Trezor zegt naar aanleiding van eerdere onderzoeken extra beveiligingsmaatregelen te hebben genomen en meldt dat er tot nu toe geen gevallen bekend zijn waarbij gebruikersfondsen daadwerkelijk zijn gestolen door dergelijke kwetsbaarheden.

Kort samengevat: er is een serieuze chip‑level kwetsbaarheid gevonden door een externe audit, maar Trezor rekent erop dat de gelaagde beveiliging van de Safe 7 gebruikersassets beschermt; het probleem vereist fysiek, geavanceerd onderzoek en kan niet via een software-update worden opgelost.