Portal de segurança
Porque sua segurança nunca é opcional.
Participe doprograma Caçadores de Bugs Trezor
Ajude-nos a proteger o futuro da autocustódia. Reporte vulnerabilidades. Ganhe recompensas. Siga essas regras:
Agir em boa fé para proteger os dados do usuário e da empresa.
Dê‑nos tempo para consertar o problema antes de expô‑lo publicamente.
Evite fraude ou prejuízo durante sua pesquisa.
Tópicos relevantes
Firmware e dispositivos Trezor
- Extração ou injeção de seed
- Ignorar PIN
- Ignorando confirmação do usuário
- Extração da chave privada
- Ataques físicos e na cadeia de suprimentos
Essa categoria é a mais importante, pois a Trezor representa o ponto máximo de segurança em nosso modelo de ameaças.
Aplicativo Trezor Suite e Trezor Connect
- Cross-site scripting (XSS)
- Bibliotecas de terceiros e ataques à cadeia de suprimentos
- Vulnerabilidades nas seções de trading ou staking
Blockbook e outras infraestruturas de backend
- Exploração do servidor Blockbook
- Configurações incorretas da infraestrutura de backend
Trezor.io
- Cross-site scripting (XSS)
- Bibliotecas de terceiros e ataques à cadeia de suprimentos
- Controle de acesso comprometido
- Exposição de dados sensíveis
- Injeção SQL
- Configuração incorreta do servidor
- Pagamento & violação de pedidos
Quaisquer outros problemas que não estejam listados acima e que, ao mesmo tempo, não estejam excluídos nos termos completos.
Mais detalhes em termos completosEstrutura das recompensas
Classe da vulnerabilidade
Recompensa
Baixo
$0 – $2 000
Médio
$250 – $5 000
Alto
$500 – $10 000
Crítico
$1 000 – $100 000*
A recompensa depende do produto afetado e da sua gravidade. Reservamo-nos o direito de determinar a gravidade e a elegibilidade das reclamações.
*Em casos excepcionalmente desastrosos, não há um limite superior.
Mais detalhes em termos completosComo reportar
Entre em contato conosco em [email protected] e inclua o seguinte:
- Código – Uma prova de conceito demonstrando o problema.
- Descrição – Uma explicação extensiva do erro e seu potencial impacto.
- Nome ou apelido (opcional) – A ser incluído em nossa lista de problemas passados.
Caso você considere este um assunto sensível, forneceremos instruções sobre como configurar um canal criptografado no Signal.
Termos completos
Reservamo-nos o direito de determinar a gravidade e a elegibilidade das reclamações.
Vulnerabilidades resolvidas
Reportado pela comunidade. Investigado. Resolvido. Porque sua segurança nunca é opcional.
- Inability to cancel certain flows on pre-production firmware31 de outubro de 2025
- Fix side-channel in BIP-39 mnemonic processing when unlocked24 de setembro de 2025
- Donjon's Trezor Safe 3 evaluation12 de novembro de 2024
- Missing confirmation in the ECDHSessionKey call26 de novembro de 2023
- XSS in Trezor Connect legacy versions7 de fevereiro de 2023
- Insufficient field size check in Protobuf12 de julho de 2021