ZachXBT afferma che un vecchio iPhone è migliore di qualsiasi hardware wallet per conservare crypto. Anche lo sviluppatore di Tornado Cash, Roman Storm, è d’accordo, ma secondo lui una funzione mancante rende insostenibile l’intero piano dell’iPhone wallet.
Questa funzione è la passphrase BIP39. Si tratta di una parola segreta aggiuntiva che nasconde il tuo vero wallet dietro uno vuoto.
L’unica funzione che manca al piano dell’iPhone wallet
La frustrazione dell’investigatore on-chain poggia su fatti concreti. Bybit ha perso 1,5 miliardi di dollari nel febbraio 2025 dopo che alcuni attaccanti hanno ingannato i suoi signatari facendogli approvare una transazione malevola. Le chiavi sono rimaste al sicuro. I fondi sono ancora mancanti.
“Tutti gli hardware wallet sono totalmente inutili e non consiglio di usarli per compiti importanti come firmare transazioni o conservare fondi. È molto meglio avere un iPhone separato, che abbia come unico scopo quello di essere utilizzato come hardware wallet,” ha spiegato ZachXBT.
Seguici su X per ricevere le ultime notizie in tempo reale
Anche Storm ha apprezzato l’idea. Tuttavia, nella sua risposta ha inserito un avvertimento.
“Sarei d’accordo… se esistesse davvero un’app mobile che supporta la passphrase BIP39.”
Ecco perché è importante. La tua seed phrase è composta da 12 o 24 parole, solitamente annotate su carta. Se aggiungi una passphrase, quelle stesse parole apriranno un wallet completamente diverso.
Così, un ladro che trova il foglio vedrà solo un portafoglio vuoto. Un holder britannico ha perso circa 172 milioni di dollari dopo che la sua recovery phrase Trezor è stata mostrata dalle telecamere di casa. Una passphrase avrebbe reso quella registrazione inutile.
La minaccia sta inoltre aumentando. Chainalysis ha registrato 158.000 wallet personali compromessi nel 2025, quasi il triplo rispetto al 2022. Quegli attacchi hanno colpito 80.000 vittime per un totale di 713 milioni di dollari. Inoltre, una sola vulnerabilità della seed phrase ha appena prosciugato 3,1 milioni di dollari questo mese.
Gli hardware wallet la supportano. I wallet mobili no
Storm ha illustrato la differenza. Trezor, Ledger, Coldcard, Keystone e BitBox supportano tutti le passphrase. Nel frattempo MetaMask ignora le richieste dal 2021. Anche Trust Wallet non la supporta. Rabby la offre solo su desktop, lasciando AirGap Vault come unica opzione per il mobile.
La sua soluzione è semplice. I wallet mobili dovrebbero supportare le passphrase e la firma air-gapped, così da non collegare mai il telefono a Internet. Anche una ricerca di Trail of Bits sostiene lo stesso principio, ovvero limitare le perdite in caso di compromissione delle chiavi.
Tuttavia, c’è anche un rischio. Il cofondatore di Casa, Jameson Lopp, ha avvertito in un’intervista che spesso le persone perdono la propria passphrase e rimangono escluse per sempre dai loro fondi.
La minaccia non arriva solo dai ladri. A Hong Kong, le autorità possono già costringere i viaggiatori a sbloccare telefoni e wallet alla frontiera.
Trezor risponde al piano che vede il telefono come un vault
Trezor non è d’accordo. Come Storm, Danny Sanders, Chief Commercial Officer dell’azienda, ha elogiato il lavoro investigativo di ZachXBT ma ha rifiutato la sostituzione.
Sanders ha argomentato che i telefoni sono dispositivi multiuso con troppe vulnerabilità. Gli exploit “zero-click” sono una realtà documentata, ha sottolineato.
Un hardware wallet funge anche da schermo indipendente. Se il telefono viene compromesso, non esiste alcuna separazione tra le verifiche e ciò che si firma.
Ha aggiunto che generare le parole seed su un telefono comporta rischi di backup su iCloud e fughe tramite appunti. Perfino la batteria rappresenta un problema: un iPhone conservato per anni può deteriorarsi e, per riaccenderlo, sono necessari gli Apple Activation Server e un Apple ID.
Storm, che è in attesa di un nuovo processo per il suo caso Tornado Cash, passa la palla ai produttori di wallet. Se MetaMask o Trust Wallet dovessero aggiungere il campo per la passphrase, milioni di vecchi telefoni potrebbero davvero diventare vault crypto affidabili.









