ZachXBT zegt dat een oude iPhone beter is dan elke hardware wallet voor het bewaren van crypto. Tornado Cash-ontwikkelaar Roman Storm is het hiermee eens, maar geeft aan dat één ontbrekende functie het hele iPhone-walletplan nutteloos maakt.
Die functie is de BIP39-wachtwoordzin. Dit is een geheime extra zin die je echte wallet achter een lege wallet verbergt.
De ene functie die het iPhone-walletplan mist
De frustratie van de on-chain onderzoeker komt niet uit het niets. Bybit verloor $1,5 miljard in februari 2025 nadat aanvallers het signing-team wisten te misleiden tot het goedkeuren van een verkeerde transactie. De sleutels bleven veilig. Maar het geld is weg.
“Alle hardware wallets zijn complete rommel en ik raad af ze te gebruiken voor belangrijke taken zoals het ondertekenen van transacties of het opslaan van geld. Het is veel beter om een aparte iPhone te gebruiken die alleen als je hardware wallet dient,” merkte ZachXBT op.
Volg ons op X voor het laatste nieuws zodra het gebeurt.
Storm vond het idee goed. Toch plaatst hij er een waarschuwing bij.
“Ik zou het ermee eens zijn – als er daadwerkelijk een mobiele app was met BIP39-wachtwoordzin-ondersteuning.”
Dit is waarom dat belangrijk is. Je herstelzin bestaat uit 12 of 24 woorden, vaak op papier geschreven. Voeg je een wachtwoordzin toe, dan open je met dezelfde woorden een compleet andere wallet.
Dus een dief die het papier vindt, ziet alleen een lege account. Een houder uit het VK verloor ongeveer $172 miljoen nadat zijn Trezor-herstelzin op huisbeveiligingsbeelden verscheen. Met een wachtwoordzin zou die opname nutteloos zijn geweest.
De dreiging groeit ook. Chainalysis registreerde 158.000 gevallen van persoonlijke wallet-hacks in 2025, bijna drie keer zoveel als in 2022. Daardoor zijn 80.000 slachtoffers $713 miljoen verloren. Bovendien zorgde één seed phrase-kwetsbaarheid deze maand al voor $3,1 miljoen aan schade.
Hardware wallets hebben het, mobiele wallets niet
Storm noemde het verschil. Trezor, Ledger, Coldcard, Keystone en BitBox ondersteunen allemaal wachtwoordzinnen. MetaMask negeert het verzoek sinds 2021. Trust Wallet heeft het ook niet. Rabby biedt het alleen aan op desktop, waardoor AirGap Vault de enige mobiele optie blijft.
Zijn oplossing is simpel. Mobiele wallets moeten wachtwoordzinnen en air-gapped signing ondersteunen, zodat de telefoon nooit verbinding maakt met het internet. Trail of Bits onderzoekt hetzelfde principe: het beperken van je verlies als sleutels lekken.
Maar er is ook een nadeel. Casa-medeoprichter Jameson Lopp waarschuwde in een interview dat mensen hun wachtwoordzin vaak kwijtraken en dan voorgoed zijn buitengesloten.
De dreiging komt niet alleen van dieven. In Hong Kong kan de grenspolitie reizigers nu al dwingen hun telefoon en wallet te ontgrendelen aan de grens.
Trezor reageert kritisch op het telefoon-als-kluis-plan
Trezor geeft niet toe. Net als Storm prijst Danny Sanders, Chief Commercial Officer van het bedrijf, het speurwerk van ZachXBT maar hij verwerpt deze ruil.
Sanders zegt dat telefoons apparaten zijn met veel te veel toegangswegen. Zero-click-exploits zijn bewezen een reëel probleem, merkt hij op.
Een hardware wallet fungeert daarnaast als een onafhankelijk tweede scherm. Als een telefoon wordt gehackt, kun je geen onderscheid meer maken tussen wat je controleert en ondertekent.
Hij voegt toe dat seed woorden aanmaken op een telefoon risico’s veroorzaakt zoals iCloud-back-ups en lekken via het klembord. Zelfs de batterij werkt tegen het plan. Een iPhone die jarenlang ligt opgeslagen kan verslechteren en opstarten gaat alleen via Apple’s activatieservers en Apple ID.
Storm, die wacht op een nieuw proces in zijn Tornado Cash-zaak, legt het nu bij de wallet-ontwikkelaars neer. Als MetaMask of Trust Wallet het veld toevoegt, kunnen miljoenen oude telefoons echte crypto-kluizen worden.








