Лазерна атака на Tangem скидає код доступу до картки

Ledger Donjon показала лабораторну лазерну атаку, яка скидає код доступу до картки Tangem. Пояснюємо, коли переносити кошти й чому це не віддалений злам.

Лазерний імпульс влучає в чип апаратного гаманця Tangem під час лабораторної атаки.

Ledger Donjon 9 липня розкрила лазерну атаку на Tangem, яка дозволяє скинути код доступу до картки без старого коду або резервної картки. Дослідники стверджують, що проблема стосується всіх карток Tangem у поточному обігу й не виправляється оновленням прошивки. Водночас це не віддалений злам: нападнику потрібні сама картка, лабораторія приблизно за 250 000 доларів і глибока експертиза з апаратної безпеки.

Практичний висновок залежить від фізичного контролю. Якщо всі картки у вас, терміново переносити активи лише через це дослідження не потрібно. Якщо картку втрачено або викрадено, безпечніше створити новий гаманець із новими ключами та перенести кошти, а не покладатися тільки на код доступу.

Як працює лазерна атака на Tangem

Команда Ledger Donjon розкрила корпус чипа й спрямувала наносекундний лазерний імпульс у конкретну ділянку захищеного елемента. Імпульс спричинив помилку під час однієї перевірки прошивки, після чого дослідники встановили на картці власний код доступу.

Атака не потребує знання попереднього коду, другої картки або ввімкненої функції відновлення. Вимкнення відновлення коду також не блокує цей метод. Оскільки картки Tangem не мають механізму оновлення прошивки, уже випущені пристрої не можна виправити програмним патчем.

Це не означає, що зловмисник може атакувати картку через NFC, застосунок або інтернет. Потрібно фізично вилучити й підготувати чип, а сама процедура інвазивна та залишає помітні сліди. Tangem у відповіді наголошує, що напад також потребує дорогого обладнання, кваліфікованих фахівців і тривалої підготовки.

Хто справді має реагувати

СитуаціяРизик і дія
Усі картки під вашим контролемВіддаленого ризику з цього дослідження немає. Зберігайте резервні картки окремо й не передавайте їх стороннім.
Одну картку загубленоШвидко перевірте, чи це справді втрата. Якщо картку могли знайти сторонні, готуйте перенесення активів до нового гаманця.
Картку викрадено або вона довго була поза контролемСтворіть новий гаманець із новими ключами та перенесіть кошти з решти доступних карток.
Гаманець захищає особливо велику суму або публічно відомого власникаУраховуйте цільову фізичну атаку в моделі загроз і ведіть облік кожної картки.

Що робити після втрати картки Tangem

  1. Не вводьте seed-фразу на сайтах із “терміновою перевіркою”. Публічність дослідження майже напевно використають шахраї у фальшивих попередженнях.
  2. Скористайтеся карткою, яка залишилася, щоб підготувати перенесення. Не чекайте на повернення викраденої картки, якщо вона захищає значні активи.
  3. Створіть цілком новий гаманець. Не імпортуйте ту саму seed-фразу: стара картка й надалі містить ключі від того самого гаманця.
  4. Перенесіть активи й перевірте транзакції. Спочатку зробіть малий тестовий переказ, потім перенесіть решту та перевірте адреси в блокчейн-оглядачі.
  5. Зберігайте нові резервні картки в різних захищених місцях. Не носіть повний комплект разом і не залишайте його там, де зловмисник може непомітно отримати тривалий доступ.

Зміна коду на картці, яка залишилася, не відкликає доступ до втраченої: Tangem зберігає код окремо на кожному пристрої. Саме тому нові ключі й фактичне перенесення активів важливіші за зміну локального коду.

Чого ця знахідка не доводить

  • Картки Tangem не можна зламати дистанційно цим методом.
  • Звичайний крадій не отримує кошти одразу після знаходження картки.
  • Дослідження не повідомляє про реальні крадіжки через лазерну ін’єкцію.
  • Лазерна атака не замінює основні ризики: phishing, витік seed-фрази, шкідливі дозволи та malware на пристрої.

Для порівняння іншого типу проблеми перегляньте нашу статтю про Ill Bloom і слабкі seed-фрази. Там уразливими є самі ключі, тоді як у випадку Tangem дослідники змінюють перевірку коду на фізично захопленій картці.

Джерела

  1. Ledger Donjon. “Bypassing Tangem Card Security with a Laser Attack.” Ledger Donjon, 9 липня 2026 року. Технічне дослідження.
  2. Tangem. “Our Comment on Ledger Donjon’s Latest Article.” Tangem, оновлено 9 липня 2026 року. Відповідь виробника.
  3. Tangem. “Lost Your Hardware Wallet? Here’s Exactly What to Do.” Tangem Learning Hub, доступ 10 липня 2026 року. Інструкція після втрати картки.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.