Concurrent Ledger ontdekt kwetsbaarheid in nieuwe Trezor-wallet

Trezor heeft een kwetsbaarheid ontdekt in een beveiligingschip van zijn nieuwe Safe 7 hardware wallet. Het lek werd gevonden tijdens een onafhankelijk onderzoek van Ledger Donjon, het beveiligingsteam van concurrent Ledger. Volgens Trezor vormt de kwetsbaarheid geen risico voor de cryptotegoeden van gebruikers, omdat de wallet is uitgerust met meerdere beveiligingslagen.

Kwetsbaarheid ontdekt tijdens onderzoek van Ledger

De kwetsbaarheid zit in de TROPIC01 Secure Element-chip, ontwikkeld door chipfabrikant Tropic Square. Deze chip is ontworpen om gevoelige gegevens zoals cryptografische sleutels te beschermen tegen aanvallen van buitenaf.

Het beveiligingsteam Ledger Donjon kreeg de chip ter beschikking voor een onafhankelijke audit en slaagde erin om onder laboratoriumomstandigheden een geavanceerde laserinjectieaanval uit te voeren. Daarbij konden de onderzoekers bepaalde geheime gegevens uit de chip achterhalen en de controle van firmwarehandtekeningen omzeilen.

Na bestudering van de resultaten ontdekten de ingenieurs van Tropic Square nog een aanvullende aanvalsmethode. Die zou mogelijk toegang kunnen geven tot andere gevoelige informatie binnen de chip die verband houdt met de pincodefuncties.

Tegoeden van gebruikers niet in gevaar

Ondanks de bevindingen benadrukt Trezor dat gebruikers niet het risico lopen hun cryptomunten te verliezen. Volgens het bedrijf is de TROPIC01-chip slechts één onderdeel van een breder beveiligingssysteem.

Om toegang te krijgen tot een wallet zouden aanvallers meerdere onafhankelijke beveiligingslagen moeten doorbreken. Het compromitteren van de getroffen chip alleen is volgens Trezor niet voldoende om toegang te krijgen tot een wallet, pincode of cryptotegoeden.

“De Trezor Safe 7 is gebouwd met meerdere onafhankelijke beveiligingslagen. Daardoor brengt een kwetsbaarheid in de TROPIC01-chip de tegoeden van gebruikers niet in gevaar”, aldus Trezor-topman Matej Žák.

Trezor stelt dat gebruikers geen actie hoeven te ondernemen naar aanleiding van de bekendmaking.

Hardwareprobleem kan niet via update worden opgelost

Omdat het beveiligingslek zich op hardwareniveau bevindt, kan het niet worden opgelost met een firmware-update. In tegenstelling tot softwareproblemen zit de kwetsbaarheid fysiek in de chip zelf.

Volgens Trezor verandert dit niets aan de veiligheid van de hardware wallet. De overige beveiligingsmechanismen van de Safe 7 blijven functioneren zoals bedoeld en beschermen de tegoeden van gebruikers.

Zeldzaam inzicht in beveiliging hardware wallets

De gezamenlijke bekendmaking van Trezor, Tropic Square en Ledger biedt een zeldzaam kijkje achter de schermen van de hardware wallet-industrie. Fabrikanten maken kwetsbaarheden op chipniveau namelijk zelden openbaar.

De kwetsbaarheid kwam aan het licht tijdens een onderzoek dat Tropic Square startte na de introductie van de TROPIC01-chip begin 2025. Nadat Ledger Donjon zijn bevindingen in januari 2026 had gedeeld, werden partners zoals Trezor direct geïnformeerd.

Uiteindelijk besloten de betrokken partijen de resultaten gezamenlijk openbaar te maken om de transparantie binnen de sector te bevorderen.

Ledger vond eerder ook kwetsbaarheden in Trezor-apparaten

Het is niet de eerste keer dat Ledger Donjon beveiligingsonderzoek uitvoert naar producten van Trezor. Eerder publiceerde het team een rapport over de Trezor Safe 3, waarin een aanval werd beschreven waarbij een apparaat fysiek werd onderschept en aangepast voordat het de eindgebruiker bereikte.

Trezor zegt dat het naar aanleiding van eerdere onderzoeken aanvullende beveiligingsmaatregelen heeft ingevoerd. Volgens het bedrijf zijn er tot op heden geen bekende gevallen waarbij gebruikerstegoeden daadwerkelijk zijn gecompromitteerd door dergelijke kwetsbaarheden.

De nieuwe openbaarmaking onderstreept volgens de betrokken partijen het belang van onafhankelijke beveiligingsaudits en voortdurende controles binnen de cryptosector, waar de bescherming van digitale tegoeden centraal staat.