في 3 يونيو 2026، أعلنت شركتا Trezor وTropic Square بشكل علني عن اكتشاف ثغرة في شريحة TROPIC01، المستخدمة في محفظة الأجهزة Trezor Safe 7. تم هذا الإعلان بالتعاون مع فريق الأبحاث Ledger Donjon، مما يبرز التزام الشركتين بالشفافية وأمان المستخدمين.
على الرغم من هذا الاكتشاف، تظل أموال مستخدمي Trezor Safe 7 آمنة ولا يُطلب من مالكي الجهاز اتخاذ أي إجراء. تؤثر الثغرة فقط على واحد من ثلاثة مستويات أمان مادية موجودة في الجهاز، مما يؤكد فعالية البنية الطبقية التي تعتمدها Trezor.
Summary
تفاصيل الثغرة: هجوم متطور وقليل القابلية للتنفيذ
سياق الاكتشاف
بعد إطلاق أول شريحة TROPIC01 في منتصف عام 2025، استعانت Tropic Square بفريق الأمان Ledger Donjon لإخضاع الشريحة لتقييم مستقل. في يناير 2026، أبلغت Ledger Donjon شركة Tropic Square بأنها نفذت بنجاح هجومًا من نوع حقن الأعطال بالليزر (Laser Fault Injection) في ظروف مخبرية شديدة التحديد، وتمكنت من تجاوز التحقق من توقيع البرنامج الثابت (firmware).
استنادًا إلى هذا الاكتشاف، حدد فريق مهندسي Tropic Square طريقة معقدة إضافية لاستغلال الثغرة، تتيح استخراج سر آخر مرتبط بوظائف رقم التعريف الشخصي (PIN) في شريحة TROPIC01. تم إبلاغ جميع الشركاء، بما في ذلك Trezor، وتم الكشف عن الثغرة للعامة بشكل منسق.
تأثير محدود: الأمان متعدد الطبقات في Trezor Safe 7
تؤثر الثغرة حصريًا على شريحة TROPIC01، وهي واحدة من ثلاثة مستويات أمان مادية ومستقلة في Trezor Safe 7. إن اختراق TROPIC01 وحدها لا يسمح بالوصول إلى رقم التعريف الشخصي (PIN)، الذي يمثل الحاجز الأخير لحماية أموال المستخدمين. بالإضافة إلى ذلك، لا تُخزَّن المفاتيح الخاصة ونسخة النسخ الاحتياطي للمحفظة على شريحة TROPIC01، بل يتم توزيعها على عدة مكونات، مما يلغي أي نقطة فشل واحدة.
يتطلب الهجوم الموصوف حيازة الجهاز فعليًا، ومعدات مخبرية متخصصة، وخبرات عالية المستوى. لا توجد أي أدلة على استغلال فعلي لهذه الثغرة، ولم يتم اختراق Trezor Safe 7 مطلقًا.
ماذا يعني ذلك لمستخدمي Trezor Safe 7
لا إجراءات مطلوبة: الأمان ما زال سليمًا
بالنسبة للمستخدمين، لا يترتب على هذا الاكتشاف أي خطر عملي ولا يتطلب أي تدخل. الثغرة على مستوى العتاد (الهاردوير) ولا يمكن حلها عبر تحديثات البرنامج الثابت عن بُعد. ومع ذلك، وبفضل التصميم الطبقي للجهاز، فإن الخلل في شريحة واحدة لا يعرّض الأمان الكلي للخطر.
في الواقع العملي، يظل التصيد الاحتيالي (phishing) التهديد الرئيسي لمن يحتفظ بأصوله بشكل ذاتي. ثغرة تتطلب وصولًا ماديًا وأدوات متقدمة لا تمثل خطرًا ملموسًا على غالبية المستخدمين.
كلمات ماتيج ژاك، الرئيس التنفيذي لشركة Trezor
أكد ماتيج ژاك، الرئيس التنفيذي لشركة Trezor، أن اختيار دمج TROPIC01 — وهي شريحة مفتوحة المصدر وقابلة للتحقق — تم تحديدًا لضمان أقصى درجات الشفافية والأمان. تم تصميم الجهاز بعدة طبقات أمان مستقلة، بما يضمن ألا يشكل أي مكون نقطة ضعف حرجة.
كما أبرز ژاك أهمية الإفصاح المنسق والتعاون بين الشركات لتعزيز القطاع بأكمله. وقال: “إن رقم التعريف الشخصي (PIN) والنسخة الاحتياطية والمفاتيح الخاصة بأموال المستخدمين لا تُوكل أبدًا إلى شريحة واحدة. هذا هو نتيجة تصميم واعٍ وشفاف”.
لماذا تختار Trezor الشفافية
نموذج أمان مفتوح المصدر
اختارت Trezor نشر هذا الإفصاح ليس لأن الأموال في خطر، بل للترويج لنموذج أمان قائم على الشفافية. ترفض الشركة فكرة أن الأمان يأتي من الغموض: فالأنظمة المغلقة والشرائح المحمية باتفاقيات عدم الإفصاح (NDA) تخفي المخاطر خلف تصاميم غير شفافة، مما يجبر المستخدمين على الثقة العمياء بما لا يمكنهم التحقق منه.
تتيح الشفافية للمستخدمين أن يكونوا مطلعين وواعين بالظروف الفعلية لأمان أجهزتهم. قد يكون العثور على الثغرات ونشرها أمرًا غير مريح للعلامة التجارية، لكنه ما يجعل النظام البيئي أكثر صلابة وموثوقية.
تطور الأمان: مسؤولية مشتركة
يتطور الأمان جنبًا إلى جنب مع التكنولوجيا. والطريقة الوحيدة لمواكبة ذلك هي مشاركة الاكتشافات مع المجتمع بشكل مفتوح. يندرج الإفصاح الحالي ضمن هذا المنطق، إذ يتيح للجميع معرفة المخاطر وتقييمها، حتى وإن كانت نظرية بحتة.
لمن يرغب في التعمق أكثر، يتوفر التنبيه التقني الكامل على مدونة Tropic Square.
Trezor: رواد الحفظ الذاتي (self-custody)
تأسست Trezor في عام 2013، وقد ابتكرت مفهوم محفظة الأجهزة، وهي اليوم الاسم الأكثر موثوقية في مجال الحفظ الذاتي، مع أكثر من مليوني مستخدم حول العالم. تطور الشركة أدوات أمان مفتوحة المصدر تضمن للمستخدمين التحكم الكامل في أصولهم الرقمية. يمثل Trezor Safe 7 المنتج الرائد للشركة، والمصمم لتقديم أعلى مستوى من الحماية والشفافية.
—
باختصار، لا تؤدي ثغرة شريحة TROPIC01، رغم أهميتها التقنية، إلى تعريض أموال مستخدمي Trezor Safe 7 للخطر. يمثل النهج الشفاف والتعاوني الذي تتبعه Trezor وTropic Square نموذجًا يحتذى به لصناعة الأمان الرقمي بأكملها.
