# 硬體錢包對決：Trezor 在 Ledger 發現漏洞後修補微控制器缺陷

事情是這樣的：Ledger的研究團隊(Donjon)剛剛揭示了Trezor的Safe 3和5型號中的一個嚴重漏洞，這並不是典型的固件問題。問題出在微控制器本身——這是Trezor依賴的雙芯片安全架構的一部分。

# # 出了什麼問題？

Trezor 實施了固件完整性檢查以防止軟件篡改，但 Ledger 研究人員表明攻擊者實際上可以繞過它。核心問題是什麼？加密操作直接在微控制器上執行，這在理論上可以通過高級物理攻擊進行利用——想想復雜的硬件黑客，而不僅僅是電壓故障。

# # 修復 ( 以及它奇怪的地方)

Trezor確認它修補了漏洞，但關鍵在於：**該公司表示固件更新無效**。翻譯？這需要硬件級別的更改。Trezor建議從官方渠道購買設備以避免供應鏈風險，但令人沮喪的是，他們對技術細節保持封閉。

# # 諷刺

在Trezor處理此事時，Ledger本身也並不完全幹淨。在2023年12月，黑客入侵了Ledger的連接庫，並盜取了$484K 的加密貨幣。在此之前，27萬個客戶郵件地址被泄露。因此，指出漏洞的公司也有自己的安全傷痕。

# # 爲什麼這很重要

查爾斯·吉耶梅特(Ledger的首席技術官)提出了一個合理的觀點：整個生態系統的更好安全性 = 更廣泛的採用。但這一事件也暴露了硬體錢包在與攻擊者進行的不斷鬥爭中是如何運作的。好消息是？Trezor的安全元件(專用芯片用於PIN和加密密鑰)在抵御低成本物理攻擊方面仍表現良好。壞消息是？高級威脅仍然是一種現實。

**底線**：如果您擁有 Trezor Safe 3/5，您的資金並不面臨直接風險，但這提醒您——始終通過官方渠道購買並保持更新。