Sicherheitsportal
Weil deine Sicherheit nie optional ist.
Trete dem Trezor BugBounty Programm bei
Hilf uns, die Zukunft der Selbstverwahrung zu sichern. Melde Schwachstellen. Verdiene Belohnungen. Befolge diese Regeln:
Handeln in gutem Glauben um die Benutzer- und Unternehmensdaten zu schützen.
Gib uns Zeit, das Problem zu behebenbevor du es öffentlich machst.
Vermeide jeglichen Betrug oder Schaden während deiner Recherche.
Relevante Themen
Trezor Geräte und Firmware
- Seedextraktion oder -injektion
- PIN Umgehung
- Umgehung der Benutzerbestätigung
- Extraktion des privaten Schlüssels
- Angriffe auf physische Anlagen und Lieferketten
Diese Kategorie ist von größter Bedeutung, da Trezor den ultimativen Sicherheitspunkt in unserem Bedrohungsmodell darstellt.
Trezor Suite App und Trezor Connect
- Cross-Site-Scripting (XSS)
- Angriffe auf Bibliotheken von Drittanbietern und Versorgungsketten
- Schwachstellen in den Handels- oder Staking-Bereichen
Blockbook und andere Backend-Infrastrukturen
- Ausnutzung von Blockbook-Servern
- Fehlerhafte Konfigurationen der Backend-Infrastruktur
Trezor.io
- Cross-Site-Scripting (XSS)
- Angriffe auf Bibliotheken von Drittanbietern und Versorgungsketten
- Defekte Zugriffskontrolle
- Offenlegung sensibler Daten
- SQL Injektion
- Fehlkonfiguration des Servers
- Zahlungs- & Bestellmanipulation
Alle anderen Probleme, die oben nicht aufgeführt sind und gleichzeitig nicht in den vollständigen Bedingungen ausgeschlossen sind.
Weitere Details in den vollständigen BedingungenPrämienstruktur
Schwachstellenklasse
Prämie
Niedrig
$0 – $2 000
Medium
$250 – $5 000
Hoch
$500 – $10 000
Kritisch
$1 000 – $100 000*
Die Höhe der Prämie richtet sich nach dem betroffenen Produkt und dem Schweregrad des Vorfalls. Wir behalten uns das Recht vor, den Schweregrad und die Berechtigung von Meldungen festzulegen.
*In außergewöhnlich katastrophalen Fällen gibt es keine Obergrenze.
Weitere Details in den vollständigen BedingungenWie man meldet
Kontaktiere uns über [email protected] und füge Folgendes hinzu:
- Code – Ein Kontextbeweis, der das Problem demonstriert.
- Beschreibung – Eine ausführliche Erklärung des Fehlers und seiner möglichen Auswirkungen.
- Name oder Spitzname (optional) – Um in die Liste unsere vorherigen Probleme aufgenommen zu werden.
Falls du dies als sensible Angelegenheit betrachtest, geben wir dir Anweisungen zur Einrichtung eines verschlüsselten Signal-Kanals.
Vollständige Bedingungen
Wir behalten uns das Recht vor, über die Schwere und die Zulässigkeit von Meldungen zu entscheiden.
Behobene Sicherheitslücken
Gemeldet durch Community. Untersucht. Gelöst. Weil deine Sicherheit nie optional ist.
- Inability to cancel certain flows on pre-production firmware31. Oktober 2025
- Fix side-channel in BIP-39 mnemonic processing when unlocked24. September 2025
- Donjon's Trezor Safe 3 evaluation12. November 2024
- Missing confirmation in the ECDHSessionKey call26. November 2023
- XSS in Trezor Connect legacy versions7. Februar 2023
- Insufficient field size check in Protobuf12. Juli 2021