เมื่อวันที่ 3 มิถุนายน 2026 Trezor และ Tropic Square ได้ประกาศต่อสาธารณะถึงการค้นพบช่องโหว่ในชิป TROPIC01 ซึ่งถูกใช้งานในฮาร์ดแวร์วอลเล็ต Trezor Safe 7 การสื่อสารครั้งนี้เกิดขึ้นร่วมกับทีมวิจัย Ledger Donjon ตอกย้ำถึงความมุ่งมั่นของบริษัทต่างๆ ต่อความโปร่งใสและความปลอดภัยของผู้ใช้
แม้จะมีการค้นพบดังกล่าว แต่เงินทุนของผู้ใช้ Trezor Safe 7 ยังคงปลอดภัย และไม่จำเป็นต้องมีการดำเนินการใดๆ จากเจ้าของอุปกรณ์ ช่องโหว่นี้เกี่ยวข้องเฉพาะกับหนึ่งในสามระดับของการป้องกันทางกายภาพที่มีอยู่ในอุปกรณ์ ยืนยันถึงประสิทธิภาพของสถาปัตยกรรมแบบหลายชั้นที่ Trezor นำมาใช้
Summary
รายละเอียดของช่องโหว่: การโจมตีที่ซับซ้อนและใช้งานได้ยาก
บริบทของการค้นพบ
หลังจากการเปิดตัวชิป TROPIC01 รุ่นแรกในช่วงกลางปี 2025 Tropic Square ได้เชิญทีมความปลอดภัย Ledger Donjon ให้ทำการประเมินชิปอย่างอิสระ ในเดือนมกราคม 2026 Ledger Donjon ได้แจ้งให้ Tropic Square ทราบว่าพวกเขาสามารถดำเนินการโจมตีแบบ Laser Fault Injection ได้สำเร็จภายใต้เงื่อนไขในห้องปฏิบัติการที่เฉพาะเจาะจงสูง สามารถข้ามขั้นตอนการตรวจสอบลายเซ็นของเฟิร์มแวร์ได้
จากการค้นพบนี้ ทีมวิศวกรของ Tropic Square ได้ระบุวิธีการที่ซับซ้อนเพิ่มเติมในการใช้ประโยชน์จากช่องโหว่ ซึ่งช่วยให้สามารถดึงความลับอีกอย่างหนึ่งที่เกี่ยวข้องกับฟังก์ชัน PIN ของชิป TROPIC01 ออกมาได้ พันธมิตรทั้งหมด รวมถึง Trezor ได้รับการแจ้งเตือน และช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะอย่างเป็นระบบ
ผลกระทบจำกัด: ความปลอดภัยหลายระดับของ Trezor Safe 7
ช่องโหว่นี้ส่งผลเฉพาะกับชิป TROPIC01 ซึ่งเป็นหนึ่งในสามระดับของการป้องกันทางกายภาพที่เป็นอิสระของ Trezor Safe 7 การเจาะระบบได้เพียง TROPIC01 ไม่ทำให้สามารถเข้าถึง PIN ได้ ซึ่งเป็นด่านป้องกันสุดท้ายที่คุ้มครองเงินทุนของผู้ใช้ นอกจากนี้ คีย์ส่วนตัวและแบ็กอัปของวอลเล็ตไม่ได้ถูกเก็บไว้บนชิป TROPIC01 แต่ถูกกระจายอยู่บนส่วนประกอบหลายตัว ทำให้ไม่มีจุดล้มเหลวเพียงจุดเดียว
การโจมตีที่อธิบายนี้ต้องอาศัยการครอบครองอุปกรณ์จริง อุปกรณ์ในห้องปฏิบัติการเฉพาะทาง และทักษะระดับสูง ปัจจุบันไม่มีหลักฐานว่ามีการใช้ประโยชน์จากช่องโหว่นี้ในโลกความเป็นจริง และ Trezor Safe 7 ไม่เคยถูกเจาะระบบมาก่อน
สิ่งที่หมายถึงสำหรับผู้ใช้ Trezor Safe 7
ไม่ต้องดำเนินการใดๆ: ความปลอดภัยยังคงสมบูรณ์
สำหรับผู้ใช้ การค้นพบนี้ไม่ก่อให้เกิดความเสี่ยงในทางปฏิบัติ และไม่ต้องมีการดำเนินการใดๆ ช่องโหว่นี้อยู่ในระดับฮาร์ดแวร์และไม่สามารถแก้ไขได้ผ่านการอัปเดตเฟิร์มแวร์จากระยะไกล อย่างไรก็ตาม ด้วยการออกแบบอุปกรณ์แบบหลายชั้น ทำให้ช่องโหว่ในชิปเพียงตัวเดียวไม่สามารถทำลายความปลอดภัยโดยรวมได้
ในโลกความเป็นจริง ฟิชชิงยังคงเป็นภัยคุกคามหลักสำหรับผู้ที่ดูแลสินทรัพย์ของตนเอง ช่องโหว่ที่ต้องการการเข้าถึงอุปกรณ์จริงและเครื่องมือขั้นสูงไม่ได้เป็นความเสี่ยงที่แท้จริงสำหรับผู้ใช้ส่วนใหญ่
คำกล่าวของ Matej Žák CEO ของ Trezor
Matej Žák CEO ของ Trezor เน้นย้ำว่าการตัดสินใจผนวก TROPIC01 — ชิปโอเพ่นซอร์สที่สามารถตรวจสอบได้ — นั้นทำขึ้นเพื่อรับประกันความโปร่งใสและความปลอดภัยสูงสุด อุปกรณ์ถูกออกแบบด้วยหลายระดับของการป้องกันที่เป็นอิสระต่อกัน เพื่อให้มั่นใจว่าไม่มีส่วนประกอบใดส่วนประกอบหนึ่งจะกลายเป็นจุดอ่อนที่สำคัญได้
Žák ได้ชี้ให้เห็นถึงความสำคัญของการเปิดเผยข้อมูลอย่างประสานงานกันและความร่วมมือระหว่างบริษัทต่างๆ เพื่อเสริมความแข็งแกร่งให้กับทั้งอุตสาหกรรม “PIN แบ็กอัป และคีย์ของเงินทุนผู้ใช้จะไม่ถูกมอบหมายให้กับชิปเพียงตัวเดียว นี่คือผลลัพธ์ของการออกแบบที่มีสติและโปร่งใส” เขากล่าว
เหตุใด Trezor จึงเลือกความโปร่งใส
โมเดลความปลอดภัยแบบโอเพ่นซอร์ส
Trezor เลือกที่จะเผยแพร่การเปิดเผยข้อมูลครั้งนี้ไม่ใช่เพราะเงินทุนตกอยู่ในความเสี่ยง แต่เพื่อส่งเสริมโมเดลความปลอดภัยที่ตั้งอยู่บนความโปร่งใส บริษัทปฏิเสธแนวคิดที่ว่าความปลอดภัยเกิดจากความคลุมเครือ: ระบบปิดและชิปที่ถูกปกป้องด้วย NDA ซ่อนความเสี่ยงไว้เบื้องหลังการออกแบบที่ทึบแสง บังคับให้ผู้ใช้ต้องเชื่อใจในสิ่งที่ตนไม่สามารถตรวจสอบได้
ความโปร่งใสช่วยให้ผู้ใช้ได้รับข้อมูลและตระหนักถึงสภาพความปลอดภัยที่แท้จริงของอุปกรณ์ของตน การค้นหาและเผยแพร่ช่องโหว่อาจเป็นเรื่องไม่สบายใจสำหรับแบรนด์ แต่เป็นสิ่งที่ทำให้ระบบนิเวศแข็งแกร่งและน่าเชื่อถือยิ่งขึ้น
วิวัฒนาการของความปลอดภัย: ความรับผิดชอบร่วมกัน
ความปลอดภัยพัฒนาไปพร้อมกับเทคโนโลยี วิธีเดียวที่จะก้าวให้ทันคือการแบ่งปันการค้นพบต่างๆ กับชุมชนอย่างเปิดเผย การเปิดเผยข้อมูลในวันนี้อยู่ในกรอบแนวคิดนี้ โดยเปิดโอกาสให้ทุกคนได้รู้จักและประเมินความเสี่ยง แม้ว่าจะเป็นเพียงเชิงทฤษฎีก็ตาม
สำหรับผู้ที่ต้องการศึกษาเพิ่มเติม ที่ปรึกษาทางเทคนิคฉบับเต็มมีให้ดูบนบล็อกของ Tropic Square
Trezor: ผู้บุกเบิกการดูแลสินทรัพย์ด้วยตนเอง
ก่อตั้งขึ้นในปี 2013 Trezor เป็นผู้คิดค้นแนวคิดฮาร์ดแวร์วอลเล็ต และปัจจุบันเป็นชื่อที่น่าเชื่อถือที่สุดในด้านการดูแลสินทรัพย์ด้วยตนเอง โดยมีผู้ใช้มากกว่า 2 ล้านคนทั่วโลก บริษัทพัฒนาเครื่องมือโอเพ่นซอร์สด้านความปลอดภัยที่รับประกันให้ผู้ใช้มีการควบคุมสินทรัพย์ดิจิทัลของตนอย่างเต็มที่ Trezor Safe 7 เป็นผลิตภัณฑ์เรือธงของบริษัท ออกแบบมาเพื่อมอบระดับการป้องกันและความโปร่งใสสูงสุด
—
โดยสรุป แม้ช่องโหว่ของชิป TROPIC01 จะมีความสำคัญในเชิงเทคนิค แต่ก็ไม่ได้ทำลายความปลอดภัยของเงินทุนของผู้ใช้ Trezor Safe 7 แนวทางที่โปร่งใสและความร่วมมือที่ Trezor และ Tropic Square นำมาใช้ ถือเป็นแบบอย่างที่ดีสำหรับทั้งอุตสาหกรรมความปลอดภัยดิจิทัล
