ZachXBT noemt bestaande hardware
wallets ongeschikt voor belangrijke transacties en grote tegoeden. Zijn alternatief is een aparte iPhone die uitsluitend voor crypto wordt gebruikt.
Trezor wijst dat advies af. Een telefoon blijft een apparaat met apps, netwerkverbindingen en veel functies, terwijl een hardware wallet specifiek is gebouwd om sleutels offline te houden.
Beide kampen praten over veiligheid. Ze verdedigen alleen een ander dreigingsmodel.
ZachXBT kiest voor een aparte iPhone
De on-chain onderzoeker plaatste zijn scherpe oordeel in een Telegram-bericht dat daarna breed werd gedeeld.
“All hardware wallets are complete garbage.”
Hij adviseerde een losse iPhone die niet voor sociale media, e-mail of dagelijks gebruik wordt ingezet. Het apparaat zou alleen walletsoftware draaien.
De gedachte daarachter is begrijpelijk. Apple investeert zwaar in beveiligde hardware, app-isolatie en snelle software-updates.
Een recente iPhone beschikt over een Secure Enclave en versleutelde gegevensopslag. Apps draaien daarnaast in afzonderlijke sandboxes, waardoor zij niet vrij bij bestanden van andere apps kunnen.
Apple beschrijft die beveiligingslagen in zijn
Platform Security-documentatie.
Een iPhone blijft een algemene computer
Een aparte telefoon heeft een kleiner risicoprofiel dan een dagelijks toestel vol chats, browserdata en onbekende apps.
Hij blijft alleen verbonden met een mobiel besturingssysteem, draadloze netwerken en een appstore. Ook ontvangt hij berichten, pushdata en software-updates.
Een softwarewallet bewaart of gebruikt de privésleutel binnen dat apparaat. De veiligheid hangt daardoor af van het besturingssysteem, de walletapp en de manier waarop back-ups zijn ingesteld.
Apple beveiligt sleutelmateriaal en gegevens sterk. Dat maakt een iPhone nog niet identiek aan een apparaat waarvan de enige taak het ondertekenen van transacties is.
Hardware wallets scheiden sleutel en computer
Een hardware wallet bewaart de privésleutel buiten de laptop of telefoon waarmee de transactie wordt voorbereid.
De computer stuurt de transactiegegevens naar het apparaat. De hardware wallet ondertekent intern en geeft alleen de handtekening terug.
De privésleutel verlaat het apparaat niet. Trezor legt dit model uit in zijn
handleiding over hardware wallets.
Een eigen scherm levert daarbij een tweede controlepunt. De gebruiker kan het adres en bedrag op het hardwareapparaat vergelijken met wat op de computer staat.
Dat helpt wanneer de computer malware bevat die een ontvangstadres probeert te vervangen.
Het scherm lost blind signing niet op
Een tweede scherm beschermt alleen wanneer de gebruiker begrijpt wat erop staat.
Bij eenvoudige Bitcointransacties zijn bedrag en adres meestal leesbaar. Bij complexe smart-contractinteracties ziet een gebruiker vaak hashes, contractdata of een algemene goedkeuring.
Dat wordt blind signing genoemd. De gebruiker geeft toestemming zonder de volledige gevolgen van de transactie duidelijk te zien.
Voor actieve DeFi-gebruikers is dit een groot risico. Een hardware wallet kan een kwaadaardige toestemming technisch correct ondertekenen.
Het apparaat doet dan precies wat gevraagd wordt. De fout zit in de opdracht die de gebruiker goedkeurt.
De seed blijft het zwakste bezit
Geen enkel apparaat beschermt tegen iemand die zijn herstelwoorden weggeeft.
De seed phrase kan de volledige wallet herstellen. Wie die woorden bezit, heeft het hardwareapparaat vaak niet meer nodig.
Phishing, nephelpdesks en valse walletapps richten zich daarom op de back-up. Ze proberen niet altijd de chip te breken; ze overtuigen de eigenaar om de sleutel zelf af te geven.
Trezor waarschuwt gebruikers om een walletback-up nooit op een telefoon of computer in te voeren. Die back-up hoort offline te blijven.
Het iPhone-model krijgt precies daar een moeilijke vraag. Wordt de seed op het toestel aangemaakt, gekopieerd of via de cloud bewaard, dan kan de operationele scheiding verdwijnen.
Fysieke aanvallen vragen een ander model
Hardware wallets zijn evenmin onaantastbaar.
Een aanvaller met fysieke toegang kan proberen chips uit te lezen, pincodes te raden of oude apparaatmodellen aan te vallen. Nieuwe Trezor-modellen gebruiken daarom Secure Elements voor hardwarematige pincodes en authenticiteitscontrole.
Trezor beschrijft die werking in zijn
documentatie over Secure Elements.
Een iPhone heeft eveneens sterke fysieke bescherming en een Secure Enclave. Wel hangt het resultaat af van het model, de toegangscode en de instellingen.
Voor iemand die risico loopt op gerichte inbeslagname of fysieke dwang kan geen enkel enkelvoudig apparaat voldoende zijn.
Lang bewaren en actief handelen zijn andere taken
De fout in veel self-custody-adviezen is dat één product voor iedere gebruiker wordt aanbevolen.
Een langetermijnhouder die enkele keren per jaar Bitcoin verstuurt, heeft een ander profiel dan een handelaar die dagelijks nieuwe contracten gebruikt.
Voor opslag past een hardware wallet met een offline back-up en weinig transacties vaak goed.
Voor actief on-chain gebruik is segmentatie sterker. Een kleine hot wallet kan dagelijkse transacties uitvoeren, terwijl het grootste bezit op een aparte wallet blijft.
Grote vermogens kunnen verder worden verdeeld over meerdere apparaten, locaties en ondertekenaars. Eén gestolen toestel of één verkeerde handtekening is dan niet genoeg.
Self-custody is een proces
ZachXBT heeft gelijk dat een apparaat geen volledig beveiligingsplan vormt.
Trezor heeft gelijk dat een doelgericht ondertekenapparaat een andere en vaak kleinere aanvalsoppervlakte heeft dan een algemene smartphone.
De juiste keuze hangt af van de tegenstander. Gaat het om malware op een laptop, fysieke diefstal, phishing, een fout contract of een gerichte aanval?
Daarna volgen pas het apparaat, de back-upmethode en het aantal vereiste handtekeningen.
Een hardware wallet is geen wondermiddel. Een aparte iPhone is dat evenmin.
De sterkste self-custody begint niet bij het merk op de doos, maar bij de vraag welke fout nooit tot volledig verlies mag leiden.