Seizoenen
Klassement
Nieuws
Leren
Onderzoek
Ranglijst
Ecosysteem
Portemonnee
yellow banner logo
TRADING
PLATFORM NU LIVE
NU BEGINNEN
yellow shooting stars
background stars

Air-gapped vs. USB vs. Bluetooth-hardwarewallets: welke is eigenlijk veiliger?

profile-alexey-bondarev
Alexey Bondarev3 uur geleden
#Crypto Wallet
Air-gapped vs. USB vs. Bluetooth-hardwarewallets: welke is eigenlijk veiliger?

De manier waarop een hardwarewallet verbinding maakt met de buitenwereld zorgt voor felle discussies onder cryptogebruikers, maar geen enkele aanvaller heeft ooit geld gestolen door een USB- of Bluetooth‑signaal te onderscheppen. Elke gedocumenteerde exploit richtte zich op firmware, fysieke chips of omringende infrastructuur. De echte vraag is niet welke kabel je moet doorknippen, maar voor welk dreigingsmodel je je moet voorbereiden.

TL;DR

  • Air-gapped wallets elimineren bepaalde externe aanvalsvectoren, maar introduceren nieuwe via QR‑parsing en microSD‑microcontrollers, en ze kunnen geen anti‑klepto‑signingprotocollen ondersteunen.
  • USB‑wallets met gecertificeerde secure elements zijn nog nooit via hun dataverbinding gecompromitteerd; het anti‑klepto‑protocol, dat alleen via persistente kanalen beschikbaar is, vormt een echte beveiligingsverbetering.
  • Bluetooth is nog nooit uitgebuit op een hardwarewallet ondanks jarenlange ongerustheid in de community; isolatie via secure elements maakt BLE‑onderschepping in de praktijk nutteloos voor aanvallers.

Niet alle hardwarewallets zijn op dezelfde manier gebouwd

Hardwarewallets share één kernprincipe: privésleutels blijven op het apparaat terwijl het ondertekenen van transacties in isolatie van de hostcomputer gebeurt. Voorbij die gedeelde basis lopen de apparaten sterk uiteen. Verbindingsmethode, chiparchitectuur, firmwaretransparantie en fysiek design verschillen per fabrikant en model.

De markt valt uiteen in drie verbindingskampen. USB‑only apparaten zoals Trezor Safe 3 en BitBox02 worden rechtstreeks in een computer gestoken. Hardwarewallets met Bluetooth, zoals de Ledger Nano X en Ledger Stax, koppelen draadloos met telefoons. Air‑gapped signers zoals Coldcard, Foundation Passport, Keystone 3 Pro, NGRAVE ZERO en Ellipal Titan maken nooit verbinding met welk netwerk dan ook.

Elke benadering kent zijn trade‑offs.

USB biedt bidirectionele communicatie met lage latency, maar creëert een fysiek datakanaal.

Bluetooth voegt mobiel gebruiksgemak toe maar opens een draadloze interface. Air‑gapping elimineert elektronische datakanalen volledig, maar beperkt de beveiligingsprotocollen die het apparaat kan ondersteunen.

Prijs en filosofie lopen ook sterk uiteen. Een Trezor Safe 3 of Ledger Nano S Plus costs ongeveer $79. Coldcard Mk4 kost $148 en Foundation Passport $199. NGRAVE ZERO zit op $398. De gratis optie is AirGap Vault, die van elke oude smartphone een offline signer maakt.

Ook interessant: Ethereum Eyed For Euro Stablecoin Settlement Layer

Wat “air‑gapped” eigenlijk betekent

NIST defines een air gap als een fysieke scheiding tussen systemen die ongeautoriseerde gegevensoverdracht verhindert. Bij hardwarewallets betekent dit geen USB‑data, geen wifi, geen Bluetooth, geen NFC, geen mobiel netwerk. De enige brug tussen het apparaat en de buitenwereld is licht of een verwijderbaar opslagmedium.

Air‑gapped wallets volgen een consistente workflow. Een companion‑app op een telefoon of computer bouwt een niet‑ondertekende transactie, meestal als PSBT (Partially Signed Bitcoin (BTC) Transaction volgens BIP‑174).

Die transactie wordt gecodeerd als een QR‑code of opgeslagen op een microSD‑kaart. Het air‑gapped apparaat scant de QR of leest het bestand, toont de transactiedetails op het vertrouwde scherm, ondertekent met de privésleutel in het secure element en geeft een ondertekende QR‑code of bestand terug.

QR‑gebaseerd ondertekenen relies op geanimeerde QR‑reeksen voor grotere transacties. Standaarden zoals de Uniform Resource‑specificatie met fountain codes van Blockchain Commons, of het Coinkite BBQr‑protocol, verdelen data over tientallen frames. Een enkele QR‑frame zit rond 3 tot 5 KB voordat hij onleesbaar wordt, dus complexe multisig‑ of CoinJoin‑transacties vergen wat geduld.

MicroSD‑gebaseerd ondertekenen omzeilt die beperking volledig. Coldcard gebruikt dit als primaire methode. Maar microSD‑kaarten bevatten ingebouwde microcontrollers met hackbare firmware, zoals onderzoeker Bunnie Huang heeft documented. Of een minicomputer die je in je wallet steekt de “air gap” werkelijk bewaart, valt te betwisten.

Het landschap van air‑gapped apparaten omvat meerdere benaderingen:

  • Coldcard Mk4 ($148) ondersteunt alleen Bitcoin, met dubbele secure elements van verschillende leveranciers, volledig open‑source en reproduceerbare firmware, en functies zoals trick PINs die het apparaat kunnen “bricken” onder dwang
  • NGRAVE ZERO ($398) claimt EAL7‑certificering voor zijn ProvenCore trusted execution environment specifiek, niet voor het hele apparaat, en de firmware is grotendeels closed‑source
  • Foundation Passport ($199) combineert een Coldcard‑achtige beveiligingsarchitectuur met een gebruiksvriendelijk ontwerp en volledig open‑source hard‑ en software
  • Keystone 3 Pro ($149 tot $169) draait op aangepaste Android 8.1 met drie secure‑elementchips en was de eerste wallet die de firmware van het secure element open‑source maakte
  • Ellipal Titan 2.0 ($169) gebruikt een volledig metalen, verzegelde behuizing met anti‑tamper self‑destruct

Ook interessant: Bitcoin Hits $72.7K High On Iran Peace Optimism

USB‑ en Bluetooth‑wallets leunen op secure elements, niet op isolatie

Via USB verbonden wallets communicate via het USB‑HID‑protocol met eigen applicatielagen erbovenop. Ledger gebruikt APDU, de smartcard‑standaard. Trezor gebruikt protobuf over HID met Trezor Bridge als daemon. BitBox02 gebruikt versleutelde protobuf‑berichten over het Noise Protocol Framework en zet zo een end‑to‑end versleuteld kanaal op dat wordt geverifieerd met een pairing‑code buiten band. Die versleuteling is uniek onder USB‑wallets. Zelfs een volledig gecompromitteerde hostcomputer kan de data in transit niet lezen of manipuleren.

De veiligheidsruggengraat van deze wallets is het secure element, een sabotagebestendige chip die is gecertificeerd tegen fysiek sonderen, voltage‑glitching en side‑channel‑analyse. Nieuwere apparaten van Ledger use ST33K1M5‑chips met EAL6+‑rating, waarop het eigen besturingssysteem BOLOS direct op het SE draait en vanuit die beveiligde omgeving het scherm en de knoppen aanstuurt.

Trezor koos jarenlang een andere weg.

De eerdere modellen hadden helemaal geen secure element. De Safe 3 en Safe 5 voegden Infineon OPTIGA Trust M‑chips met EAL6+‑rating toe voor PIN‑handhaving en apparaatattestatie. Maar cryptografisch ondertekenen occurs nog steeds op de algemene microcontroller, niet in het SE. De aankomende Trezor Safe 7 introduceert TROPIC01, het eerste volledig controleerbare, open‑source secure element, ontwikkeld door Tropic Square, een dochter van SatoshiLabs.

Wallets met Bluetooth gebruiken Bluetooth Low Energy uitsluitend als transportlaag. De implementatie van Ledger treats de BLE‑verbinding standaard als gecompromitteerd. De STM32WB55‑MCU met zijn BLE‑radio fungeert als relais. Het secure element bedient onafhankelijk het scherm en de knoppen. Privésleutels verlaten het SE‑grensvlak nooit.

De belangrijkste beveiligingskenmerken van de BLE‑implementatie op Ledger‑apparaten zijn:

  • Pairing gebruikt Numeric Comparison, de sterkste standaard BLE‑methode, met AES‑CMAC‑authenticatie om man‑in‑the‑middle‑aanvallen te voorkomen
  • Alleen publieke data (onondertekende transacties, ondertekende transacties) gaat over het draadloze kanaal, nooit seeds of privésleutels
  • Gebruikers kunnen Bluetooth volledig uitschakelen en op elk moment terugvallen op USB
  • Het SE valideert en toont transactiedetails onafhankelijk van de BLE‑stack

Dat Trezor Bluetooth toevoegde aan de Safe 7 na jarenlang draadloze connectiviteit te vermijden, wijst op een brancheconsensus: BLE is acceptabel als er goede isolatie via secure elements bestaat.

Ook interessant: Why Central Banks May Struggle To Control Inflation This Time

Elke echte aanval richtte zich op firmware en fysica, nooit op de kabel

De meest veelzeggende constatering in de beveiliging van hardwarewallets is: in alle gedocumenteerde exploits sinds het ontstaan van de sector heeft geen enkele geslaagde aanval relied op het onderscheppen of manipuleren van het datatransportkanaal. Niet USB. Niet Bluetooth. Niet QR‑codes.

Douglas Bakkum, mede‑oprichter van Shift Crypto (BitBox), bracht systematisch alle bekende kwetsbaarheden in kaart en concludeerde dat air‑gapped communicatie weinig extra veiligheid biedt terwijl de gebruikservaring verslechtert.

Kraken Security Labs demonstrated in januari 2020 dat seeds uit zowel Trezor One als Trezor Model T in ongeveer 15 minuten konden worden geëxtraheerd met zo’n $75 aan apparatuur. De aanval gebruikte voltage‑glitching om de leesbeveiliging van de STM32‑microcontroller te downgraden van RDP2 naar RDP1, extraheerde vervolgens de versleutelde seed via ARM‑SWD‑debugging en brute‑forcerde de PIN.

Deze kwetsbaarheid is inherent aan de STM32‑chipfamilie en kan niet met firmware‑updates worden verholpen. De mitigatie van Trezor was het gebruik van een BIP39‑passphrase, die niet op het apparaat wordt opgeslagen.

Het datalek bij Ledger van juni 2020 caused meer schade in de echte wereld dan alle hardwarekwetsbaarheden samen. Een verkeerd geconfigureerde API‑sleutel legde 1,1 miljoen e‑mailadressen bloot en ongeveer 272.000 volledige klantrecords, waaronder namen, woonadressen adressen en telefoonnummers.

De nasleep was verwoestend. Valse Ledger-wallets met gemanipuleerde firmware werden naar slachtoffers gestuurd. Afluistermails eisten $700 tot $1.000 in Bitcoin. Er volgde een patroon van fysieke aanvallen op cryptobeleggers dat tot op de dag van vandaag voortduurt. In januari 2025 werd Ledger-medeoprichter David Balland ontvoerd in Frankrijk en werd een vinger afgesneden.

De Ledger Recover-controverse van mei 2023 verbrijzelde een kernveronderstelling die veel gebruikers hadden. De optionele dienst van Ledger van $9,99 per maand versleutelt de seed phrase van de gebruiker, splitst die in drie fragmenten en verspreidt deze naar Ledger, Coincover en een derde bewaarder, waarbij KYC-identiteitsverificatie vereist is.

De verontwaardiging in de community draaide om een fundamentele onthulling: de firmware van Ledger had altijd al de technische mogelijkheid gehad om seed phrases uit het secure element te halen. CTO Charles Guillemet legde uit dat dit inherent is aan elke hardware wallet-architectuur. Medeoprichter Éric Larchevêque bevestigde op Reddit dat het gebruik van Recover betekent dat tegoeden door een overheid kunnen worden bevroren.

Also Read: Cardano Whale Wallets Reach 4-Month Peak Amid 42% Drop

Het Anti-Klepto-probleem Geeft USB een Echte Veiligheidsvoorsprong

Dark Skippy, in augustus 2024 onthuld door Frostsnap-medeoprichters Lloyd Fournier en Nick Farrow samen met BitVM-ontwikkelaar Robin Linus, liet zien dat kwaadaardige firmware de gehele seed phrase van een gebruiker kon exfiltreren via slechts twee transactiesignaturen.

De aanval embedt seedgegevens in de nonces van de ondertekening. Een aanvaller die de publieke blockchain monitort, zou de seed kunnen reconstrueren met behulp van Pollard’s Kangaroo-algoritme. Dit treft elke hardware wallet, ongeacht de connectiviteit.

De verdediging tegen Dark Skippy is het anti-klepto-protocol. Bij standaard ECDSA-signing genereert de hardware wallet intern een willekeurige nonce.

Als de firmware kwaadaardig is, kan deze nonces kiezen die privésleutel-materiaal coderen. De gebruiker heeft geen manier om dit te detecteren.

Anti-klepto-signing, voor het eerst geïmplementeerd door BitBox02 begin 2021, vereist dat de hostsoftware een extra willekeurige nonce bijdraagt. De hardware wallet moet die externe nonce in zijn ondertekeningsproces opnemen. Als de wallet deze niet correct incorporeert, mislukt de handtekeningverificatie. Dit maakt heimelijke sleutel-exfiltratie detecteerbaar.

Het protocol vereist een persistente, low-latency, bidirectionele verbinding. Dat is precies wat USB en Bluetooth bieden. QR-codes scannen maakt het onpraktisch, omdat elke extra ronde anti-klepto-verificatie een nieuwe cyclus van het scannen van geanimeerde QR-sequenties zou vereisen. Momenteel implementeren alleen BitBox02 en Blockstream Jade anti-klepto-signing. Air-gapped wallets kunnen dit protocol praktisch niet ondersteunen.

Dit betekent niet dat air-gapping theater is. Het elimineert verschillende reële vectoren:

  • BadUSB-aanvallen waarbij een gemanipuleerd apparaat zich presenteert als een toetsenbord voor de host
  • USB-apparaat-enumeratie-fingerprinting die informatie lekt over het aangesloten systeem
  • De OLED-stroomverbruiks-side-channel-aanval ontdekt door Christian Reitter in 2019, waarbij USB-stroommetingen gedeeltelijk weergegeven PIN- of seed-informatie konden onthullen
  • JTAG-debuggingaanvallen op niet-beveiligde MCU’s, zoals degene die Kraken Security Labs vond op de Ledger Nano X, waarbij firmwaremodificatie vóór app-installatie mogelijk was

Dit zijn echte vectoren die air-gapping elimineert. Het zijn ook vectoren die grotendeels worden gemitigeerd door een juiste secure element-architectuur, versleutelde USB-protocollen en verified boot.

Also Read: Billions Vanished In Crypto Fraud Last Year, Here's What The FBI Found

Bluetooth is Nog Nooit Misbruikt op een Hardware Wallet

Ondanks wijdverspreide ongerustheid in de community over Bluetooth, is het empirische bewijs helder. Er is nog nooit een cryptocurrency-hardware wallet gecompromitteerd via de Bluetooth-verbinding. Dit omvat testen tegen elke grote BLE-kwetsbaarheidsklasse.

BlueBorne, een set van acht CVE’s onthuld in 2017, maakte remote code execution zonder pairing mogelijk op meer dan 5 miljard Bluetooth-apparaten.

Maar het maakte misbruik van implementatiefouten in Bluetooth-stacks van besturingssystemen, niet van BLE-hardware.

KNOB (CVE-2019-9506) dwong de entropie van de encryptiesleutel terug tot 1 byte tijdens Bluetooth Classic-pairing, maar treft BLE niet, wat is wat hardware wallets gebruiken.

BIAS (CVE-2020-10135) maakte impersonatie van gepaarde apparaten mogelijk, maar was opnieuw alleen gericht op Bluetooth Classic. BrakTooth, een set van 16 kwetsbaarheden die in 2021 invloed hadden op meer dan 1.400 producten, trof Bluetooth Classic-stacks, niet BLE. SweynTooth in 2020 richtte zich wel specifiek op BLE en veroorzaakte crashes en beveiligingsomzeilingen, maar is nooit aangetoond tegen een hardware wallet.

De architectonische reden is eenvoudig. Zelfs als een aanvaller de BLE-verbinding volledig zou compromitteren, krijgt hij toegang tot niet-ondertekende en ondertekende transactiedata, dezelfde data die toch publiek op de blockchain wordt uitgezonden.

Ze kunnen geen privésleutels extraheren, omdat die geïsoleerd zijn in het secure element. Ze kunnen geen transactiegoedkeuringen vervalsen, omdat daarvoor een fysieke knopdruk vereist is. Ze kunnen transacties niet ongemerkt wijzigen, omdat het vertrouwde scherm details toont vanuit het secure element, niet via het BLE-kanaal.

Eén Bluetooth-gerelateerde zorg is het vermelden waard. In 2025 vonden onderzoekers kwetsbaarheden in de ESP32-chip van Espressif, gebruikt in wallets zoals Blockstream Jade. Het lek zou theoretisch kwaadaardige firmware-injectie via de draadloze interfaces van de chip mogelijk kunnen maken. Dit is een chipspecifiek implementatieprobleem, geen Bluetooth-protocolkwetsbaarheid.

Also Read: Main Quantum Risk For Bitcoin Is Consensus, Not Code, Grayscale Warns

Wie Welk Niveau van Isolatie Echt Nodig Heeft

De hardware wallet-markt bereikte naar schatting $350 miljoen tot $680 miljoen in 2025, met grote variatie door verschillende onderzoeksmethoden, en groeit met 20 tot 30 procent per jaar. Ledger domineert met meer dan 6 miljoen verkochte units cumulatief. SatoshiLabs verzond in 2024 alleen al 2,4 miljoen Trezor-units. USB-connectiviteit heeft nog steeds ongeveer 47 procent van de markt in handen, maar neemt af naarmate Bluetooth groeit.

Voor particuliere beleggers met minder dan $50.000 in Ethereum (ETH), Solana (SOL), of Bitcoin biedt een USB-wallet met een gecertificeerd secure element meer dan voldoende beveiliging.

De primaire dreigingen op dit niveau zijn phishing, social engineering en slechte opslag van de seed. Geen enkele connectiviteitsmethode pakt die aan. Bruikbaarheid is zelf een beveiligingsfunctie, omdat complexe air-gapped workflows het risico op gebruikersfouten vergroten.

Voor grote houders en langetermijn-cold storage bieden air-gapped wallets wezenlijke voordelen. Niet primair door het elimineren van het USB-aanvalsoppervlak, maar door het operationele beveiligingsmodel dat ze afdwingen. Een air-gapped wallet die op een veilige locatie wordt bewaard, is fysiek gescheiden van apparaten voor dagelijks gebruik. Dat vermindert de blootstelling aan supply chain-aanvallen, malware en fysieke diefstal.

Voor actieve DeFi-gebruikers en mobile-first traders is Bluetooth een praktische noodzaak, geen beveiligingscompromis. Ledger Nano X met Ledger Live, of de aanstaande Trezor Safe 7, maakt mobiele transactieondertekening mogelijk met dezelfde secure element-bescherming als USB.

De QR-code-integratie van Keystone 3 Pro met MetaMask biedt een air-gapped alternatief voor EVM-chains, zij het met aanzienlijk meer wrijving per transactie.

Voor institutionele bewaring is de afweging volledig anders. Het enterprisesegment is goed voor ongeveer 69 procent van de hardware wallet-omzet, ondanks minder verkochte units. Multi-signature-sets over meerdere air-gapped apparaten, mogelijk van verschillende fabrikanten, bieden defense-in-depth die geen enkele connectiviteitsmethode van één enkel apparaat kan evenaren.

Also Read: Can AI Really Run DeFi? New Findings Expose Major Risks

Conclusie

Het debat air-gapped vs. USB vs. Bluetooth genereert meer warmte dan licht. Het datatransportkanaal is de minst uitgebuite component in het hele aanvalsoppervlak van hardware wallets. Elke bevestigde diefstal waarbij hardware wallets betrokken waren, is herleid naar fysieke extractie, supply chain-tampering, social engineering of gecompromitteerde omliggende infrastructuur. Geen enkele was terug te voeren op onderschepte USB- of Bluetooth-communicatie.

Air-gapping biedt reële waarde als operationele beveiligingsdiscipline in plaats van als cryptografische verdediging.

Een apparaat dat in een kluis blijft en alleen via QR-codes communiceert, is moeilijker aan te vallen omdat het moeilijker te bereiken is, niet omdat QR-codes veiliger zijn dan USB.

Ondertussen maakt het bidirectionele kanaal van USB anti-klepto-protocollen mogelijk die de belangrijkste vooruitgang in de ondertekeningsbeveiliging van hardware wallets van de laatste jaren vertegenwoordigen, een verdediging die air-gapped wallets structureel niet kunnen toepassen. De drie feiten die elke beslissing zouden moeten sturen: de kwaliteit van het secure element is belangrijker dan de connectiviteitsmethode, open-source firmware maakt community-audit mogelijk ongeacht de transportlaag, en multisig over apparaten van verschillende fabrikanten biedt sterkere bescherming dan de air gap van welke enkele wallet dan ook.

Read Next: Schwab Warns Even 1% Bitcoin Allocation Reshapes Portfolio Dynamics

Disclaimer en risicowaarschuwing: De informatie in dit artikel is uitsluitend voor educatieve en informatieve doeleinden en is gebaseerd op de mening van de auteur. Het vormt geen financieel, investerings-, juridisch of belastingadvies. Cryptocurrency-assets zijn zeer volatiel en onderhevig aan hoog risico, inclusief het risico om uw gehele of een substantieel deel van uw investering te verliezen. Het handelen in of aanhouden van crypto-assets is mogelijk niet geschikt voor alle beleggers. De meningen die in dit artikel worden geuit zijn uitsluitend die van de auteur(s) en vertegenwoordigen niet het officiële beleid of standpunt van Yellow, haar oprichters of haar leidinggevenden. Voer altijd uw eigen grondig onderzoek uit (D.Y.O.R.) en raadpleeg een gelicentieerde financiële professional voordat u een investeringsbeslissing neemt.
Gerelateerde leerartikelen
Hoe u een hardware wallet kiest: 10 zaken die ertoe doen
Gids voor het kiezen van een hardware wallet op basis van beveiliging, back-up, open source en gebruik, in plaats van alleen merknaam of aantal coins.
Top 5 air-gapped cryptowallets die hackers niet kunnen bereiken
Apr 05, 2026
Vijf ultra-veilige offline cryptowallets vergeleken op beveiliging, prijs en functies om je coins buiten bereik van hackers te bewaren.
Top 10 DeFi-wallets voor veilig traden in 2026
Vergelijking van de 10 beste DeFi-wallets in 2026 op veiligheid, multichain toegang en lage kosten voor actief handelen.
Beste USDT-wallets in 2026: vergelijking van cold- en hot-opties
Overzicht van de beste USDT-wallets in 2026, met focus op netwerkintegratie, kosten, beveiliging en ondersteuning voor TRC-20 en andere ketens.
Hoe u uw Bitcoin nu kunt beschermen tegen kwantumbedreigingen
Mar 17, 2026
Praktische stappen om je crypto nu al te beschermen tegen toekomstige kwantumaanvallen, met focus op adressen en wallet‑keuzes.
Air-gapped vs. USB vs. Bluetooth-hardwarewallets: welke is eigenlijk veiliger? | Yellow.com