MiCA paaiškinimas
„Tangem“ lazerio ataka 2026-07-13: ką tai reiškia
Pirmadienis, liepos 13 d.: išsamus paaiškinimas apie „Ledger Donjon“ liepos 9-10 d. paskelbtą lazerio gedimo injekcijos ataką prieš „Tangem“ aparatinės piniginės korteles. Kas nutiko, kaip tai veikia, kodėl to negalima ištaisyti ir ką tai praktiškai reiškia Baltijos ir Šiaurės šalių savarankiško saugojimo vartotojams.
„Ledger“ saugumo komanda „Donjon“ liepos 9-10 d. paskelbė apie lazerio gedimo injekcijos ataką prieš „Tangem“ korteles, kuri leidžia atkurti slaptažodį be esamo slaptažodžio. Ataka paveikia visas apyvartoje esančias korteles ir yra nepataisoma, nes kortelės neturi programinės įrangos atnaujinimo mechanizmo, tačiau jai reikia fizinio kortelės turėjimo, maždaug 250 000 JAV dolerių vertės laboratorijos ir dviejų valandų darbo. „Tangem“ kasdienio vartotojo riziką vadina praktiškai neegzistuojančia. Paaiškiname techninę esmę, palyginame su birželio mėnesio „Trezor Safe 7“ atradimu ir išdėstome, ką tai reiškia regiono vartotojams.
Pirmadienis, 2026 m. liepos 13 d. Tai yra išsamaus paaiškinimo formato publikacija, o ne kasdienė naujienų apžvalga. Priežastis yra sąmoninga: per pastarąsias 24-48 valandas mūsų segmente - kriptovaliutų biržose, aparatinėse piniginėse, kriptovaliutų kortelėse ir mokesčių įrankiuose Baltijos ir Šiaurės šalių rinkai - nėra pakankamai naujų, tiksliai datuojamų įvykių, kad būtų galima sudaryti išsamią dienos apžvalgą. Tačiau svarbiausias praėjusios savaitės įvykis aparatinės piniginės kategorijoje - liepos 9-10 d. paskelbta „Ledger Donjon“ lazerio ataka prieš „Tangem“ korteles - yra pakankamai reikšmingas, kad jį būtų galima išsamiai ir be perdėjimų paaiškinti. Ankstesnės dienos naujienos apie biržas ir CASP licencijas čia nekartojamos kaip šviežios.
Kas nutiko: „Ledger Donjon“ atskleidžia lazerio ataką prieš „Tangem“ korteles
2026 m. liepos 9-10 d. „Ledger“ saugumo tyrimų komanda „Donjon“ paskelbė techninę ataskaitą apie naują fizinę atakos metodą prieš „Tangem“ aparatinės piniginės korteles. Metodas - vadinamas lazerio gedimo injekcija (laser fault injection, LFI) - leidžia užpuolikui atkurti kortelės slaptažodį ir gauti prieigą prie joje saugomų privačių raktų medžiagų, nežinant esamo slaptažodžio ir be atsarginės kortelės. Patys tyrėjai atskleidė pažeidžiamumą „Tangem“ įmonei dar 2026 m. vasario 10 d., laikydamiesi atsakingo informacijos atskleidimo praktikos, ir viešą ataskaitą paskelbė po penkių mėnesių.
Įvykis yra reikšmingas Baltijos ir Šiaurės šalių vartotojams, nes „Tangem“ kortelės be sėklos frazės (seedless) NFC yra populiari ir pigi savarankiško saugojimo galimybė regione, kurią dažnai rekomenduoja pradedantiesiems būtent dėl jų paprastumo. Kai apie pažeidžiamumą praneša tiesiogiai „Ledger“ - didžiausias konkurentas aparatinės piniginės rinkoje - verta rimtai atsižvelgti į įspėjimą ir jį įvertinti su sveika skepsa. Šiame straipsnyje stengiamės atskirti techninę esmę nuo rinkos retorikos.
Kaip ataka veikia techniškai
„Tangem“ kortelių saugumo pagrindas yra „Samsung“ pagamintas saugus elementas S3D232A, sertifikuotas pagal aukštą EAL6+ standartą. „Ledger Donjon“ tyrėjai nustatė, kad mikroschemos programinėje įrangoje, vykdant slaptažodžio keitimo (SetPin) instrukciją, yra vienas kritinis sąlygos patikrinimas, patvirtinantis, ar kortelė yra autorizuotoje atkūrimo būsenoje. Tikslingai nukreipdami nanosekundės trukmės infraraudonųjų spindulių lazerio impulsą į tikslią vietą ant mikroschemos kristalo būtent šios instrukcijos vykdymo metu, tyrėjai pasiekė, kad patikrinimas būtų apeitas, ir kortelė priimtų naują slaptažodį be esamo slaptažodžio ar atsarginės kortelės.
Praktiškai ataka nėra triviali. Jai reikia fizinio kortelės turėjimo, invazinio kortelės paruošimo (plastiko pjovimo, ekranavimo pašalinimo, jungčių pertvarkymo), laboratorinės įrangos, kurios vertė apie 250 000 JAV dolerių, gilių žinių tiek aparatinės, tiek programinės įrangos saugumo srityje, ir maždaug dviejų valandų darbo vienam bandymui nustačius parametrus. Ataka yra destruktyvi - kortelės negalima grąžinti nepažeistos - ir jos negalima atlikti nuotoliniu būdu per programėlę, internetą ar NFC. Tačiau dvi aplinkybės daro atradimą iš esmės rimtu: pirma, jis paveikia visas šiuo metu apyvartoje esančias „Tangem“ korteles; antra, jo negalima ištaisyti programinės įrangos atnaujinimu, nes „Tangem“ kortelės neturi programinės įrangos atnaujinimo mechanizmo. Tyrėjai taip pat nurodo, kad ataka veikia net tada, kai vartotojas yra išjungęs slaptažodžio atkūrimo funkciją.
„Tangem“ atsakymas: rizika „praktškai neegzistuojanti“
Liepos 9 d. „Tangem“ paskelbė oficialų atsakymą, kuriame neginčija techninės atradimo pusės, bet ginčija jo praktinę reikšmę. Įmonė pabrėžia, kad sėkmingam atakos įvykdymui vienu metu reikalingas fizinis kortelės turėjimas, brangi laboratorinė įranga ir labai siaura specializacija, todėl kasdieniam vartotojui rizika yra „praktškai neegzistuojanti“. „Tangem“ taip pat nurodo, kad iki šiol nėra žinomų realių lėšų praradimų dėl lazerio gedimo injekcijos atakų jokiai aparatinei piniginei, ir priešpastato tai sėklos frazių nutekėjimams, kurių sukelti nuostoliai pasaulyje matuojami dešimtimis milijardų dolerių. Įmonė gina savo „seedless“ architektūrą, teigdama, kad ji apsaugo vartotojus nuo dažniausių realių grėsmių - sukčiavimo ir kenkėjiškų programėlių - ir kad tradicinė sėklos frazė kelia didesnę kasdienę riziką nei laboratorinis scenarijus.
Svarbu atsižvelgti ir į interesų kontekstą: „Ledger Donjon“ veikia „Ledger“ sudėtyje, kuri yra tiesioginis „Tangem“ konkurentas aparatinės piniginės rinkoje. Tai nereiškia, kad atradimas yra neteisingas - metodika yra techniškai pagrįsta ir atsakingai atskleista - tačiau tai paaiškina, kodėl tiek įspėjimo, tiek atsakymo tonas yra įkrauti. Objektyvi išvada yra per vidurį: pažeidžiamumas yra realus ir nepataisomas, tačiau jo panaudojimui reikia resursų ir prieigos, kuri daugumai vartotojų nėra aktuali kasdienio grėsmių modelio atveju.
Platesnis kontekstas: aparatinės piniginės fizinio saugumo banga
„Tangem“ atvejis nėra izoliuotas. Jis įeina į platesnę „Ledger Donjon“ tyrimų seriją apie konkurentų aparatinės piniginės fizinį saugumą. Kontekstui - 2026 m. birželio 3 d. „Ledger Donjon“ atskleidė panašų lazerio gedimo injekcijos pažeidžiamumą TROPIC01 saugiame elemente, naudojamame „Trezor Safe 7“ piniginėje; ataka leido gauti vieną iš trijų PIN apsaugotų paslapčių, sumažinant apsaugą nuo trijų sluoksnių iki dviejų. „Trezor“ tada atsakė, kad vartotojų lėšos išlieka saugios, nes privatūs raktai nėra saugomi paveiktoje mikroschemoje ir vienos mikroschemos kompromitavimas nesuteikia PIN prieigos. Šie du atvejai kartu - „Trezor Safe 7“ birželį ir „Tangem“ liepą - rodo tendenciją, kai fizinės, laboratorinio lygio atakos tampa vis svarbesne tema aparatinės piniginės saugumo diskusijose.
Šių įvykių praktinė vertė regiono vartotojams nėra panika, o realistinis grėsmių modelio supratimas: laboratorinės atakos reikalauja fizinės įrenginio vagystės ir didelių resursų, o sukčiavimas, netikras palaikymo sukčiavimas ir kenkėjiškos programėlės vis dar yra daug dažnesnė realių nuostolių priežastis.
Ką tai reiškia Baltijos ir Šiaurės šalių vartotojams
Regiono savarankiško saugojimo vartotojams iš šio įvykio išplaukia trys praktinės išvados. Pirma, fizinis saugumas yra svarbus: jei aparatinė piniginė ar „Tangem“ kortelė yra pavagiama ar pametama ir joje saugoma reikšminga suma, rekomenduojama kuo greičiau perkelti lėšas į naują piniginę su naujais raktais, nepasikliaujant vien tuo, kad ataka yra brangi. Antra, pažeidžiamumo nepataisomumas reiškia, kad tai nėra problema, kurią išspręs kitas atnaujinimas - tai reikia sąmoningai atsižvelgti, renkantis, kiek vertės patikėti konkrečiam modeliui. Trečia, renkantis aparatinę piniginę, verta atkreipti dėmesį ne tik į prekės ženklo rinkodarą, bet ir į tai, ar įrenginys turi programinės įrangos atnaujinimo galimybę ir kaip gamintojas istoriškai reaguoja į saugumo atradimus.
Vienu metu svarbu išlaikyti proporcijas. Daugumai vartotojų pagrindinė reali rizika nėra lazeris laboratorijoje, o socialinė inžinerija: netikri palaikymo skambučiai, sukčiavimo nuorodos, kenkėjiškos dApp leidimai ir sėklos frazės įvedimas nepatikimose vietose. Aparatinė piniginė - taip pat „Tangem“ ar „Trezor“ - vis dar yra žymiai saugesnė nei raktų saugojimas biržoje ar programinėje piniginėje, jei vartotojas laikosi pagrindinės higienos.
Praktiniai patarimai savarankiškam saugojimui
Nepriklausomai nuo konkretaus prekės ženklo, regiono vartotojams naudingi šie principai: didesnes sumas laikykite įrenginyje, kuris fiziškai yra saugioje vietoje, ir neatskleiskite, kiek ir kur saugote; niekada neįveskite sėklos frazės į kompiuterį ar tinklalapį; patikrinkite kiekvienos transakcijos adresą tiesiai įrenginio ekrane; ir padalinkite lėšas tarp kelių piniginių, jei suma yra reikšminga. Šie įpročiai apsaugo nuo daug dažnesnių grėsmių nei bet kokia laboratorinė ataka.
Apibendrinant: „Ledger Donjon“ atradimas yra techniškai rimtas ir nepataisomas, tačiau jo praktinis panaudojimas yra ribotas brangiais, invaziniais laboratoriniais scenarijais. Regiono vartotojams tai yra pagrįsta priežastis peržiūrėti fizinio saugumo įpročius, o ne priežastis panikuoti.
Kontekstas: rinkos fone
Rinkos fone (foninė informacija, ne pagrindinė šios publikacijos tema) Bitcoin liepos viduryje prekiavo maždaug 59 000-60 000 JAV dolerių lygiu, šiek tiek žemiau nei liepos pradžioje, esant geopolitiniam neapibrėžtumui ir atsargiam rizikos apetitui. Tikslios kainos svyruoja, ir šis lygis minimas tik kaip bendras kontekstas.
Šaltiniai
- Ledger Donjon - Bypassing Tangem Card Security with a Laser Attack (2026-07-09)
- Tangem Blog - Our Comment on Ledger Donjon's Latest Article (LFI response, 2026-07-09)
- The Block - Ledger researchers disclose Tangem card flaw; Tangem says risk to everyday users is 'virtually non-existent' (2026-07-10)
- crypto.news - Can hackers drain Tangem cards? Ledger reveals laser attack (2026-07-10)
- The Hacker News - Laser Attack Resets Tangem Wallet Passwords on Cards That Can't Be Patched (2026-07)
- Decrypt - Trezor Reveals Hardware Wallet Vulnerability, But Funds 'Safe' (2026-06-03, kontekstas)