3 Haziran 2026’da Trezor ve Tropic Square , Trezor Safe 7 donanım cüzdanında kullanılan TROPIC01 yongasında bir güvenlik açığı keşfedildiğini kamuoyuna açıkladı. Bu duyuru, Ledger Donjon araştırma ekibiyle iş birliği içinde yapıldı ve şirketlerin şeffaflık ile kullanıcı güvenliğine olan bağlılığını vurguladı.
Bu keşfe rağmen, Trezor Safe 7 kullanıcılarının fonları güvende kalmaya devam ediyor ve cihaz sahiplerinin herhangi bir işlem yapmasına gerek yok. Güvenlik açığı, cihazda bulunan üç fiziksel güvenlik katmanından yalnızca birini ilgilendiriyor ve Trezor’un benimsediği katmanlı mimarinin etkinliğini doğruluyor.
Summary
Güvenlik açığının detayları: sofistike ve pratik olmayan bir saldırı
Keşfin bağlamı
İlk TROPIC01 yongasının 2025 ortasında piyasaya sürülmesinin ardından Tropic Square, yongayı bağımsız bir değerlendirmeye tabi tutmak için Ledger Donjon güvenlik ekibini görevlendirdi. Ocak 2026’da Ledger Donjon, son derece spesifik laboratuvar koşullarında bir Lazer Hata Enjeksiyonu (Laser Fault Injection) saldırısını başarıyla gerçekleştirdiğini ve ürün yazılımı imza doğrulamasını atlamayı başardığını Tropic Square’e bildirdi.
Bu keşfe dayanarak Tropic Square mühendis ekibi, TROPIC01 yongasının PIN işlevleriyle ilişkili başka bir sırrın çıkarılmasına imkân tanıyan, güvenlik açığından yararlanmak için ek, karmaşık bir yöntem daha belirledi. Trezor dahil tüm ortaklar bilgilendirildi ve güvenlik açığı koordineli bir şekilde kamuoyuna duyuruldu.
Sınırlı etki: Trezor Safe 7’nin çok katmanlı güvenliği
Güvenlik açığı yalnızca TROPIC01 yongasını, yani Trezor Safe 7’nin üç bağımsız fiziksel güvenlik katmanından birini etkiliyor. Yalnızca TROPIC01’in ele geçirilmesi, kullanıcı fonlarını koruyan son bariyer olan PIN’e erişim sağlamıyor. Ayrıca özel anahtarlar ve cüzdan yedeği TROPIC01 yongasında saklanmıyor; birden fazla bileşene dağıtılmış durumda, böylece tekil bir arıza noktası ortadan kaldırılıyor.
Tanımlanan saldırı, cihazın fiziksel olarak ele geçirilmesini, özel laboratuvar ekipmanlarını ve üst düzey uzmanlığı gerektiriyor. Bu güvenlik açığının gerçek hayatta istismar edildiğine dair hiçbir kanıt yok ve Trezor Safe 7 hiçbir zaman ihlal edilmedi.
Bu durum Trezor Safe 7 kullanıcıları için ne anlama geliyor
Herhangi bir işlem gerekmiyor: güvenlik korunuyor
Kullanıcılar açısından bu keşif, pratik bir risk oluşturmuyor ve herhangi bir müdahale gerektirmiyor. Güvenlik açığı donanım seviyesinde ve uzaktan yapılacak ürün yazılımı güncellemeleriyle giderilemiyor. Ancak tam da cihazın katmanlı tasarımı sayesinde, tek bir yongadaki bir açık genel güvenliği tehlikeye atmıyor.
Gerçek dünyada, kendi varlıklarını kendi saklayanlar için en büyük tehdit olmaya devam eden şey phishing saldırılarıdır. Fiziksel erişim ve ileri düzey araçlar gerektiren bir güvenlik açığı, kullanıcıların büyük çoğunluğu için somut bir risk teşkil etmez.
Trezor CEO’su Matej Žák’ın sözleri
Trezor CEO’su Matej Žák, TROPIC01’in — açık kaynaklı ve doğrulanabilir bir yonga — entegrasyonuna yönelik tercihin, en yüksek düzeyde şeffaflık ve güvenlik sağlamak amacıyla yapıldığının altını çizdi. Cihaz, birbirinden bağımsız birden fazla güvenlik katmanıyla tasarlandı ve böylece hiçbir bileşenin kritik bir zafiyet noktası haline gelmemesi sağlandı.
Žák, tüm sektörü güçlendirmek için koordineli açıklamanın ve şirketler arası iş birliğinin önemini vurguladı. “Kullanıcıların PIN’i, yedeği ve fon anahtarları asla tek bir yongaya emanet edilmez. Bu, bilinçli ve şeffaf bir tasarımın sonucudur,” diye belirtti.
Trezor neden şeffaflığı seçiyor
Açık kaynaklı bir güvenlik modeli
Trezor, bu duyuruyu fonlar risk altında olduğu için değil, şeffaflığa dayalı bir güvenlik modeli teşvik etmek için yayımlamayı seçti. Şirket, güvenliğin gizlilikten kaynaklandığı fikrini reddediyor: kapalı sistemler ve NDA ile korunan yongalar, riskleri opak tasarımların arkasına gizler ve kullanıcıları, doğrulayamadıkları şeylere körü körüne güvenmeye zorlar.
Şeffaflık, kullanıcıların cihazlarının gerçek güvenlik koşulları hakkında bilgili ve bilinçli olmasını sağlar. Güvenlik açıklarını bulmak ve yayımlamak bir marka için rahatsız edici olabilir, ancak ekosistemi daha sağlam ve güvenilir kılan da tam olarak budur.
Güvenliğin evrimi: paylaşılan bir sorumluluk
Güvenlik, teknolojiyle birlikte evrilir. Buna ayak uydurmanın tek yolu, keşifleri toplulukla açıkça paylaşmaktır. Bugünkü duyuru da bu mantık çerçevesine oturuyor ve herkese, tamamen teorik bile olsa, riskleri bilme ve değerlendirme imkânı sunuyor.
Daha derinlemesine bilgi edinmek isteyenler için, tam teknik bilgilendirme Tropic Square’in blogunda mevcuttur.
Trezor: self-custody alanında öncüler
2013 yılında kurulan Trezor, donanım cüzdanı kavramını icat etti ve bugün self-custody alanında dünya çapında 2 milyondan fazla kullanıcıyla en güvenilir isim konumunda. Şirket, kullanıcılara dijital varlıkları üzerinde tam kontrol sağlayan açık kaynaklı güvenlik araçları geliştiriyor. Trezor Safe 7, en yüksek düzeyde koruma ve şeffaflık sunmak üzere tasarlanmış, şirketin amiral gemisi ürününü temsil ediyor.
—
Özetle, teknik açıdan önemli olsa da TROPIC01 yongasındaki güvenlik açığı, Trezor Safe 7 kullanıcılarının fonlarının güvenliğini tehlikeye atmıyor. Trezor ve Tropic Square’in benimsediği şeffaf ve iş birlikçi yaklaşım, tüm dijital güvenlik endüstrisi için örnek teşkil eden bir model sunuyor.
