Portefeuille Jade de Blockstream non affecté par la vulnérabilité ESP32

Une alerte récente concernant une vulnérabilité rapportée (CVE-2025-27840) dans la puce ESP32 utilisée dans de nombreux appareils électroniques, y compris certains portefeuilles Bitcoin, a déclenché des préoccupations dans la communauté.

Les premiers messages, dont un de Protos (un site connu pour diffuser de la désinformation sur le bitcoin et la tempête), ont suggéré que le portefeuille matériel Jade de Blockstream était à risque, ce qui a provoqué une discussion généralisée sur les menaces potentielles pour les touches privées des utilisateurs.

Cependant, Bloc de blocagele fabricant de Jadea précisé que le portefeuille n’est pas affecté par la question.

Dans un public déclarationla société a déclaré avoir examiné la vulnérabilité lors de sa première divulgation début mars et déterminé que Jade était resté en sécurité.

Blockstream avait précédemment abordé la question dans ses canaux communautaires et a récemment réitéré ses conclusions pour réprimer les préoccupations renouvelées.

Adam de retourPDG de Blockstream, a répondu directement aux affirmations, déclarant: «Jade n’est pas en danger.

Une autre discussion technique a révélé que l’architecture de sécurité de Jade ne s’appuie pas uniquement sur le générateur de nombres aléatoires de l’ESP32 (RNG) pour l’entropie lors de la création de clés privées.

Des commentateurs indépendants, y compris des analystes de sécurité axés sur le bitcoin, ont noté que Jade complète l’entropie en incorporant des données de plusieurs sources telles que les fréquences radio, les clics de la caméra, les compteurs du processeur, l’état de la batterie et la température ambiante.

Cette approche garantit que même si le RNG de l’ESP32 était compromis, une entropie suffisante existerait toujours pour générer des clés en toute sécurité.

Un utilisateur, connu sous le nom de « Le pharmacien ₿itcoin« a expliqué que même des sources autonomes comme les clics de la caméra pourraient générer plus qu’assez d’entropie pour la sécurité du portefeuille.

Après des éclaircissements supplémentaires, des articles antérieurs exprimant leur inquiétude ont été supprimés, les commentateurs reconnaissant que Jade dépasse probablement les normes de l’industrie pour la génération d’entropie.

Le rapport de vulnérabilité d’origine concernait les commandes de débogage de débogage de contrôleur d’hôte Bluetooth sans papiers (HCI) dans la puce ESP32, que EspressIF, le fabricant de la puce, clarifié Posé aucune menace de sécurité directe.

EspressIF a noté que ces commandes nécessitent des privilèges d’exécution complets sur l’appareil et ne peuvent pas être déclenchés à distance via des attaques Bluetooth ou Internet.

De plus, les versions ultérieures de la famille des puces ESP32 (comme ESP32-C, ESP32-S et ESP32-H) ne sont pas affectées.

EspressIF s’est depuis engagé à atténuer davantage les préoccupations en libérant des correctifs logiciels désactivant l’accès aux commandes de débogage et en documentant toutes les commandes HCI spécifiques au fournisseur pour la transparence.

Bien que la vulnérabilité ESP32 elle-même soit réelle et garantit l’attention pour certaines applications, les preuves actuelles indiquent que le portefeuille Jade de Blockstream n’est pas affecté et reste sécurisé pour les utilisateurs.