# 硬件钱包对决：Trezor 在 Ledger 发现漏洞后修补微控制器缺陷

事情是这样的：Ledger的研究团队(Donjon)刚刚揭示了Trezor的Safe 3和5型号中的一个严重漏洞，这并不是典型的固件问题。问题出在微控制器本身——这是Trezor依赖的双芯片安全架构的一部分。

# # 出了什么问题？

Trezor 实施了固件完整性检查以防止软件篡改，但 Ledger 研究人员表明攻击者实际上可以绕过它。核心问题是什么？加密操作直接在微控制器上执行，这在理论上可以通过高级物理攻击进行利用——想想复杂的硬件黑客，而不仅仅是电压故障。

# # 修复 ( 以及它奇怪的地方)

Trezor确认它修补了漏洞，但关键在于：**该公司表示固件更新无效**。翻译？这需要硬件级别的更改。Trezor建议从官方渠道购买设备以避免供应链风险，但令人沮丧的是，他们对技术细节保持封闭。

# # 讽刺

在Trezor处理此事时，Ledger本身也并不完全干净。在2023年12月，黑客入侵了Ledger的连接库，并盗取了$484K 的加密货币。在此之前，27万个客户邮件地址被泄露。因此，指出漏洞的公司也有自己的安全伤痕。

# # 为什么这很重要

查尔斯·吉耶梅特(Ledger的首席技术官)提出了一个合理的观点：整个生态系统的更好安全性 = 更广泛的采用。但这一事件也暴露了硬件钱包在与攻击者进行的不断斗争中是如何运作的。好消息是？Trezor的安全元件(专用芯片用于PIN和加密密钥)在抵御低成本物理攻击方面仍表现良好。坏消息是？高级威胁仍然是一种现实。

**底线**：如果您拥有 Trezor Safe 3/5，您的资金并不面临直接风险，但这提醒您——始终通过官方渠道购买并保持更新。