Segurança Trezor: Como Protegemos Suas Chaves de Cripto

Participe do
programa Caçadores de Bugs Trezor

Ajude-nos a proteger o futuro da autocustódia. Reporte vulnerabilidades. Ganhe recompensas. Siga essas regras:

Agir em boa fé para proteger os dados do usuário e da empresa.

Dê‑nos tempo para consertar o problema antes de expô‑lo publicamente.

Evite fraude ou prejuízo durante sua pesquisa.

Tópicos relevantes

Firmware e dispositivos Trezor

Extração ou injeção de seed
Ignorar PIN
Ignorando confirmação do usuário
Extração da chave privada
Ataques físicos e na cadeia de suprimentos

Essa categoria é a mais importante, pois a Trezor representa o ponto máximo de segurança em nosso modelo de ameaças.

Aplicativo Trezor Suite e Trezor Connect

Cross-site scripting (XSS)
Bibliotecas de terceiros e ataques à cadeia de suprimentos
Vulnerabilidades nas seções de trading ou staking

Blockbook e outras infraestruturas de backend

Exploração do servidor Blockbook
Configurações incorretas da infraestrutura de backend

Trezor.io

Cross-site scripting (XSS)
Bibliotecas de terceiros e ataques à cadeia de suprimentos
Controle de acesso comprometido
Exposição de dados sensíveis
Injeção SQL
Configuração incorreta do servidor
Pagamento & violação de pedidos

Quaisquer outros problemas que não estejam listados acima e que, ao mesmo tempo, não estejam excluídos nos termos completos.

Mais detalhes em termos completos

Estrutura das recompensas

Classe da vulnerabilidade

Recompensa

Baixo

$0 – $2 000

Médio

$250 – $5 000

Alto

$500 – $10 000

Crítico

$1 000 – $100 000*

A recompensa depende do produto afetado e da sua gravidade. Reservamo-nos o direito de determinar a gravidade e a elegibilidade das reclamações.

*Em casos excepcionalmente desastrosos, não há um limite superior.

Mais detalhes em termos completos

Como reportar

Entre em contato conosco em [email protected] e inclua o seguinte:

Código – Uma prova de conceito demonstrando o problema.
Descrição – Uma explicação extensiva do erro e seu potencial impacto.
Nome ou apelido (opcional) – A ser incluído em nossa lista de problemas passados.

Caso você considere este um assunto sensível, forneceremos instruções sobre como configurar um canal criptografado no Signal.

Termos completos

Reportar vulnerabilidade

Reservamo-nos o direito de determinar a gravidade e a elegibilidade das reclamações.

Vulnerabilidades resolvidas

Reportado pela comunidade. Investigado. Resolvido. Porque sua segurança nunca é opcional.

Por dentro da segurança Trezor

Scams and phishing

Common tactics scammers use against Trezor users

Security & safety in Trezor

Explore security features of all Trezor models

Trezor Safe device authentication check

How Trezor Safe verifies authenticity

Participe doprograma Caçadores de Bugs Trezor

Vulnerabilidades resolvidas

Por dentro da segurança Trezor

Participe do
programa Caçadores de Bugs Trezor