Trezor公司披露称，其旗舰硬件钱包 Safe 7 所使用的 TROPIC01 安全芯片存在一项硬件层漏洞，但在现有攻击条件下，用户资金仍处于受保护状态。

漏洞由独立审计发现

这项问题来自 Ledger 旗下安全研究团队 Donjon 的独立审计。审计人员通过“激光故障注入”方式，对 TROPIC01 芯片实施攻击，并成功提取出保护用户 PIN 的三项“秘密”中的一项。

这意味着，Safe 7 原本的三层物理独立防护会被削弱为两层。不过，Trezor表示，仅攻破这一芯片本身，仍不足以直接获得 PIN，也无法因此接管钱包内资产。

攻击需拆机并使用实验室设备

Trezor称，这类攻击必须满足较高门槛，包括实际拿到设备、拆解硬件，并使用专门的实验室设备操作。因此，公司认为该芯片仍然构成有效防护，攻击实施成本高、耗时长。

区块链安全公司 Cyvers 也向外媒表示，这类攻击“非常不现实”。该公司认为，从实际风险看，普通用户更常见的威胁仍是钓鱼攻击、助记词泄露、恶意 dApp，以及在不了解交易内容时进行盲签。

无法通过固件更新修复

由于问题属于硬件层缺陷，Trezor表示，无法通过固件更新完成修复。报道提到，Trezor暂未回应是否会接受用户退款申请。

Trezor同时强调，Safe 7 用户的私钥并不存储在 TROPIC01 芯片中，这也是公司判断资金仍然安全的原因之一。公司还表示，这项漏洞也无法被用来在设备中植入持久性的恶意固件。

补充信息：此次披露显示，相关风险主要集中在设备被人实际接触并进入实验室攻击流程的场景，未显示出大规模远程失窃风险。