Trezor afirma que la falla del chip Safe 7 encontrada por Ledger no pone en riesgo los fondos

La empresa de billeteras de hardware Trezor y el fabricante de chips Tropic Square han divulgado una vulnerabilidad en una de las tres capas de seguridad independientes en la billetera de hardware Trezor Safe 7, afirmando que la falla no pone en riesgo los fondos de los usuarios.

La vulnerabilidad fue identificada durante una auditoría de seguridad independiente realizada por Ledger Donjon, el equipo de investigación de seguridad de Ledger, fabricante de billeteras de hardware rival, según un comunicado de Trezor enviado a Cointelegraph.

Tropic Square proporcionó el chip TROPIC01 Secure Element afectado al equipo de Ledger Donjon para una auditoría independiente. Trezor afirmó que comprometer TROPIC01 por sí solo no sería suficiente para acceder a la billetera de un usuario, PIN o fondos porque Safe 7 se basa en múltiples capas de seguridad independientes, incluido otro elemento seguro.

La divulgación ofrece una rara mirada pública a cómo los fabricantes de billeteras de hardware manejan las fallas de seguridad a nivel de chip y destaca el papel creciente de los investigadores independientes en la prueba de dispositivos de custodia de criptomonedas.

Falla surgida durante pruebas de seguridad independientes

Según Trezor, la vulnerabilidad fue descubierta durante una revisión de seguridad independiente iniciada por Tropic Square después del lanzamiento de su elemento seguro TROPIC01 a principios de 2025.

Ledger's Donjon informó a Tropic Square en enero de 2026 que había llevado a cabo con éxito un ataque de inyección de falla láser contra el chip, lo que permitió a los investigadores extraer algunos secretos retenidos por el chip y omitir la verificación de la firma del firmware en condiciones de laboratorio.

TROPIC01 es uno de los dos elementos seguros en Trezor Safe 7, que se lanzó en octubre de 2025. Fuente: SatoshiLabs

Después de revisar los hallazgos de Ledger Donjon, los ingenieros de Tropic Square identificaron un método adicional para explotar la debilidad que podría exponer otro secreto retenido por el chip relacionado con funciones relacionadas con el PIN.

La compañía notificó a sus socios, incluido Trezor, y optó por divulgar públicamente la vulnerabilidad junto con la investigación de Donjon.

Trezor dice que los usuarios no necesitan tomar ninguna acción

Trezor afirmó que los usuarios no necesitan tomar ninguna acción después de la divulgación, agregando que la vulnerabilidad no afecta los fondos almacenados en el dispositivo porque comprometer TROPIC01 por sí solo no es suficiente para acceder a la billetera, PIN o fondos.

Como el problema existe a nivel de hardware, no se puede solucionar mediante una actualización de firmware remoto.

“Debido a que Trezor Safe 7 fue construido con múltiples capas de seguridad independientes, una vulnerabilidad en TROPIC01 no pone en riesgo los fondos de los usuarios”, dijo el CEO de Trezor, Matej Žák.

Fuente: Trezor

Trezor señaló que el equipo de Ledger's Donjon ha publicado previamente investigaciones de seguridad independientes sobre sus dispositivos, incluido un informe sobre Trezor Safe 3 que demostró un ataque que involucraba intercepción física estilo cadena de suministro, desoldadura y modificación del dispositivo antes de que llegara a los usuarios.

La compañía respondió públicamente en ese momento y ha seguido endureciendo contra tales vectores de ataque, agregando que no estaba al tanto de que se hubieran comprometido fondos de usuarios.

Cointelegraph se comunicó con Trezor en cuanto a auditorías de los otros dos chips utilizados en Safe 7, así como chips en iteraciones de dispositivos anteriores, pero no había recibido una respuesta para el momento de la publicación.