- Ledger заявив про критичну вразливість апаратного гаманця Tangem.
- Останній відповів на звинувачення, називаючи ризик майже нульовим.
- Мова йшла про LFI-атаку.
Дослідницький підрозділ Ledger Donjon опублікував результати дослідження апаратних гаманців Tangem, заявивши про критичну вразливість, яка теоретично дозволяє скинути пароль картки та викрасти криптоактиви.
У Tangem відповіли, що атака можлива лише за фізичного доступу до картки, потребує лабораторії вартістю близько $250 000, спеціалізованого обладнання та тижнів роботи, тому не становить практичної загрози для більшості користувачів.
Our comment on Ledger Donjon’s latest article. It describes a laser fault injection (LFI), a physical, lab-only attack technique that applies to secure elements in general, not something unique to Tangem.
It’s also worth noting that while Ledger Donjon presents itself as an…— Tangem (@Tangem) July 9, 2026
У чому полягає вразливість?
За даними Ledger Donjon, дослідники змогли провести атаку методом лазерного введення помилок (Laser Fault Injection, LFI) на чип безпечного елемента Samsung S3D232A, який використовується у картках Tangem.
У звіті зазначається, що за допомогою одного лазерного імпульсу вдалося обійти перевірку стану відновлення пароля та встановити новий пароль без знання попереднього.
Автори дослідження стверджують:
«Вразливість не потребує знання чинного пароля або резервної картки й не усувається навіть після вимкнення функції відновлення».
У Ledger Donjon також наголосили, що проблема стосується всіх апаратних гаманців Tangem, які перебувають в обігу, а виправити її оновленням прошивки неможливо, оскільки пристрої не підтримують механізм оновлення firmware.
ТОП 15 холодних гаманців: розбираємося, що це таке, та обираємо найкращий гаманець 07.07.2026 Читати
Втім, дослідники окремо підкреслили, що атаку неможливо виконати дистанційно.
Для її реалізації необхідні:
- фізичний доступ до картки;
- лабораторне обладнання вартістю близько $250 000;
- глибокі знання у сфері апаратної безпеки;
- близько двох годин на проведення атаки після попереднього дослідження конкретної моделі.
За словами дослідників, після успішного скидання пароля зловмисник отримує можливість підписувати будь-які транзакції та вивести всі криптоактиви.
Tangem: реальний ризик для користувачів майже відсутній
У Tangem заявили, що публікація Ledger Donjon описує не унікальну проблему продукту, а загальновідому категорію фізичних атак на захищені мікросхеми.
У компанії також звернули увагу, що Ledger Donjon є підрозділом одного з найбільших конкурентів Tangem.
У заяві компанії сказано:
«LFI — це фізична атака, яку можна виконати лише в лабораторних умовах. Вона не масштабується, не може бути здійснена віддалено і залишає видимі пошкодження картки».
У Tangem також наголосили, що для успішної експлуатації необхідні:
- лабораторія вартістю понад $250 000;
- рідкісна експертиза у сфері апаратної безпеки;
- фізичне володіння конкретною карткою;
- тижні підготовки та досліджень.
Компанія також зазначила, що жоден виробник апаратних гаманців не може гарантувати абсолютний захист від складних фізичних атак.
У Tangem підкреслили, що найбільшу небезпеку для власників криптоактивів сьогодні становлять зовсім інші загрози:
- фішингові атаки;
- шкідливі децентралізовані застосунки;
- шахрайські смартконтракти;
- соціальна інженерія.
У компанії також звернули увагу, що за весь час існування апаратних гаманців не було зафіксовано реальних випадків викрадення коштів через атаки типу LFI.
Дискусія відбувається на тлі нових викликів для безпеки криптоіндустрії
Водночас низка експертів із криптоспільноти закликала не перебільшувати практичний ризик виявленої вразливості. Так, аналітик Nick звернув увагу, що незмінювана (immutable) прошивка Tangem не має механізму оновлення, а отже не отримує нових потенційних векторів атак, які можуть з’являтися після регулярних програмних оновлень інших пристроїв.
Подібної думки дотримуються й інші фахівці. Користувач платформи X Ішан Перера назвав таку атаку «операцією рівня державних структур», а інженер під псевдонімом Shivam наголосив, що близько 99% успішних зломів криптогаманців пов’язані з фішингом, соціальною інженерією або шкідливим програмним забезпеченням.
За його словами, користувачам значно важливіше дотримуватися базових правил безпеки — захищати seed-фразу та уникати фішингових ресурсів, ніж перейматися надзвичайно дорогими лабораторними атаками.
Публікація Ledger Donjon з’явилася в період, коли експерти дедалі частіше попереджають про ускладнення кіберзагроз для крипторинку.
Після того, як експерти заявили, що сучасні ШІ-інструменти допомагають хакерам швидше знаходити вразливості у смартконтрактах, фахівці закликали криптопроєкти регулярно проводити повторні аудити коду, а не покладатися лише на перевірку перед запуском.
Крім того, раніше TRM Labs повідомила, що лише за перше півріччя 2026 року криптоіндустрія пережила рекордні 207 хакерських атак, хоча сукупні збитки скоротилися до $972 млн. Водночас CertiK оцінила втрати крипторинку від зломів за цей період у $1,32 млрд, зазначаючи, що зловмисники дедалі частіше повертаються до старих або навіть закритих DeFi-протоколів.
Сообщение Ledger і Tangem публічно посперечалися щодо злому гаманця через лазерну атаку появились сначала на INCRYPTED.







