ZachXBT cho rằng một chiếc iPhone cũ có thể an toàn hơn bất kỳ ví cứng nào để lưu trữ crypto. Nhà phát triển Tornado Cash là Roman Storm cũng đồng ý, nhưng anh cho rằng một tính năng còn thiếu đã khiến ý tưởng ví iPhone này chưa hoàn hảo.
Tính năng đó là passphrase BIP39. Đây là một từ khóa bí mật giúp bạn ẩn ví thật của mình phía sau một ví trống.
Sự bất mãn của chuyên gia điều tra on-chain không phải là vô lý. Bybit đã mất 1.5 tỷ USD vào tháng 02/2025 sau khi hacker lừa đội ngũ xác nhận giao dịch giả. Khóa bảo mật vẫn an toàn, nhưng tiền đã bị rút sạch.
“Tất cả ví cứng đều vô dụng và tôi không khuyến nghị dùng chúng cho mục đích quan trọng như ký giao dịch hoặc lưu trữ tài sản. Tốt hơn là nên sử dụng một chiếc iPhone riêng biệt chỉ để làm ví cứng,” ZachXBT đã nhận định.
Theo dõi chúng tôi trên X để cập nhật tin tức mới nhất
Storm cũng thích ý tưởng này. Tuy nhiên, anh cũng đưa ra lời cảnh báo.
“Tôi sẽ đồng ý — nếu thực sự có một ứng dụng di động hỗ trợ passphrase BIP39.”
Lý do điều này quan trọng là: seed phrase của bạn thường gồm 12 hoặc 24 từ, đa phần được ghi ra giấy. Nếu bạn thêm một passphrase, thì những từ khóa này sẽ dẫn đến một ví hoàn toàn khác.
Vì vậy, nếu kẻ trộm lấy được giấy ghi seed phrase của bạn, chúng sẽ chỉ thấy ví trống. Có một nhà đầu tư tại Anh đã mất khoảng 172 triệu USD khi cụm khôi phục Trezor của anh xuất hiện trên camera an ninh tại nhà. Nếu có passphrase, đoạn ghi hình đó sẽ trở nên vô nghĩa.
Mối đe dọa này cũng ngày càng gia tăng. Chainalysis thống kê có 158,000 ví cá nhân bị đánh cắp trong năm 2025, gần gấp ba lần năm 2022. Những vụ tấn công này khiến 80,000 nạn nhân thiệt hại 713 triệu USD. Thậm chí chỉ một lỗ hổng trên seed phrase duy nhất trong tháng này đã làm thất thoát 3.1 triệu USD.
Storm đã liệt kê chi tiết: Trezor, Ledger, Coldcard, Keystone và BitBox đều hỗ trợ passphrase. Trong khi đó, MetaMask bị phản ánh không làm gì kể từ năm 2021. Trust Wallet cũng không cung cấp tính năng này. Rabby chỉ hỗ trợ trên máy tính, khiến AirGap Vault là lựa chọn di động duy nhất có passphrase.
Cách khắc phục khá đơn giản: ví di động nên hỗ trợ passphrase và cho phép ký giao dịch offline (air-gapped), tránh để điện thoại kết nối Internet. Báo cáo của Trail of Bits ủng hộ giải pháp này để hạn chế tổn thất khi khóa bảo mật bị lộ.
Tuy nhiên, giải pháp này cũng có rủi ro. Jameson Lopp – đồng sáng lập Casa – từng cảnh báo trong một phỏng vấn rằng, rất nhiều người đã tự khóa luôn ví của mình do quên passphrase.
Mối nguy không chỉ đến từ kẻ trộm. Ở Hồng Kông, nhà chức trách hiện đã có quyền yêu cầu du khách mở khóa điện thoại và ví tại biên giới.
Trezor không hoàn toàn đồng tình với ý kiến trên. Tương tự Storm, Danny Sanders – giám đốc thương mại của hãng – đánh giá cao khả năng điều tra của ZachXBT nhưng không ủng hộ việc dùng iPhone thay cho ví cứng.
Sanders lập luận rằng điện thoại là thiết bị đa năng, có quá nhiều “cửa” để hacker khai thác. Các vụ tấn công chỉ cần nhấn một lần (zero-click exploit) đã xảy ra trong thực tế.
Love ZachXBT's detective work, but of course I kindly disagree here 🙃. A dedicated iPhone is an interesting hot wallet upgrade, but it's still a general-purpose device. And assuming everyone can execute this setup really well is a big generalisation.Why an iPhone can't… https://t.co/Qtp1y15krY
— Danny @Trezor (@Dantoshi) July 16, 2026
Ví cứng còn đóng vai trò như màn hình xác thực riêng biệt. Nếu điện thoại bị nhiễm mã độc, bạn không thể kiểm tra kỹ giao dịch trước khi ký.
Ông cũng lưu ý rằng tạo seed phrase trên điện thoại làm tăng nguy cơ bị sao lưu lên iCloud hoặc lộ qua clipboard. Ngoài ra, nếu để iPhone lâu ngày, pin sẽ giảm chất lượng, và khi muốn kích hoạt lại bắt buộc phải truy cập máy chủ của Apple, cần có Apple ID.
Storm – hiện đang chờ xét xử lại trong vụ án Tornado Cash – đã chuyển kỳ vọng sang các nhà phát triển ví. Nếu MetaMask hay Trust Wallet bổ sung hỗ trợ passphrase, hàng triệu chiếc điện thoại cũ có thể trở thành “két sắt” lưu trữ crypto thực sự.