Dit artikel helpt je te begrijpen wat een cold wallet voor cryptocurrency is, waarom deze nodig is, hoe deze is opgebouwd en waarom het nog steeds een van de veiligste manieren is om bitcoins op te slaan.
Wat is een cold wallet voor het opslaan van cryptovaluta?
Een cold wallet is een manier om bitcoins of andere cryptovaluta op te slaan zonder constante internetverbinding. Het is als een kluis voor digitaal geld: je sleutels bevinden zich in een apparaat of op papier, en niemand kan er op afstand toegang toe krijgen.
Een offline cryptowallet voor Bitcoin
Een dergelijke wallet beschermt tegen hacks en diefstallen die kunnen plaatsvinden als u cryptocurrency opslaat in een app of op een exchange. U verbindt een cold wallet alleen met een computer of telefoon wanneer u een transactie moet versturen, en de rest van de tijd blijven uw bitcoins veilig offline. Daardoor is de kwetsbaarheid van de wallet voor netwerkaanvallen beperkt tot enkele seconden.
Wie heeft de cold cryptocurrency wallets uitgevonden?
Het idee van cold storage voor cryptovaluta ontstond kort na de creatie van Bitcoin, toen duidelijk werd dat het onveilig was om grote bedragen online op te slaan. Vroege gebruikers begonnen privésleutels op papier te schrijven of op te slaan op apparaten zonder internettoegang om zich te beschermen tegen hacks.
Het concept van een hardwarematige cryptowallet ontstond in 2014, toen het bedrijf Ledger de eerste apparaten presenteerde waarmee transacties gemakkelijk en veilig konden worden ondertekend zonder constante netwerkverbinding. Na Ledger betraden Trezor en andere fabrikanten de markt.
De evolutie van de eerste cryptowallets
Na de introductie van de eerste hardware wallets verzamelde de markt al snel gebruikservaring en werden zwakke punten ontdekt. Zo konden de eerste Ledger Nano- en Trezor One-modellen een transactie niet volledig op het scherm verifiëren: de gebruiker moest de adressen op het computerscherm vertrouwen. Dit creëerde een kwetsbaarheid, omdat malware het adres op het moment van verzending kon vervangen.
Om dit probleem op te lossen, verschenen er grotere en meer informatieve schermen in de Trezor Model T en Ledger Nano X, waardoor gebruikers het volledige adres van de ontvanger en het transactiebedrag direct op de cryptowallet konden controleren voordat ze de transactie bevestigden.
Ledger zette in op het gebruik van een Secure Element – een beveiligde chip vergelijkbaar met die in bankpassen. Deze chip isoleerde privésleutels en ondertekeningsbewerkingen binnen de chip, waardoor uitlekken zelfs bij toegang tot de hardware werd voorkomen. Trezor hanteert een andere aanpak: zij gebruiken open source code en een architectuur waarbij privésleutels in het geheugen van de microcontroller worden opgeslagen, maar de gebruiker alle apparaat- en firmwarecode kan controleren om er zeker van te zijn dat er geen achterdeuren zijn.
De volgende stap was het werken met meerdere handtekeningen en complexe opslagscenario’s. Cryptowallets zoals Coldcard maakten verbinding met multisignatuurschema’s mogelijk, waarbij meerdere apparaten of gebruikers een transactie bevestigen. Coldcard bood ook een airgap-modus: transacties worden gevormd en ondertekend op de cryptowallet zelf, zonder verbinding met een pc. Ze worden overgedragen via een microSD-kaart, wat het risico op USB-aanvallen verkleint.
Ook aan gebruiksgemak werd aandacht besteed. Ledger Nano X en Keystone voegden Bluetooth toe. Deze aanpak maakt het mogelijk om draadloos via een smartphone te werken en transacties binnen de cryptowallet te ondertekenen. Keystone introduceerde een camera voor het scannen van QR-codes bij het overmaken van transacties, waardoor ook bekabelde verbindingen volledig overbodig werden.
Met de ontwikkeling van DeFi en de behoefte aan interactie met dApps zijn integraties met MetaMask en andere Web3-wallets ontstaan, waarbij het hardwareapparaat transacties in de browser bevestigt, maar de privésleutels in de cryptowallet blijven.
Het verschil tussen een cold wallet en een hot wallet
Het belangrijkste verschil tussen een cold wallet en een hot wallet is de internetverbinding. Een hot wallet heeft altijd internettoegang om snel cryptovaluta te verzenden en te ontvangen.
Hot crypto wallets zijn handig voor dagelijks gebruik: geld overmaken, interactie met DeFi, betalen voor goederen en diensten. Ze zijn geschikt voor kleine bedragen, maar zijn kwetsbaar voor hackrisico’s of kunnen het slachtoffer worden van kwaadaardige software.
Cold wallets worden gebruikt voor de veilige opslag van grote bedragen en voor langdurig gebruik. Ze minimaliseren het risico op diefstal door de interactie met de buitenwereld te beperken. De gebruiker kan adressen en bedragen direct op het apparaat controleren voordat een transactie wordt ondertekend, en privésleutels verlaten de cryptowallet nooit en verschijnen ook niet op internet, waardoor diefstal op afstand wordt uitgesloten.
Simpel gezegd is een hot crypto wallet te vergelijken met een portemonnee in je zak voor dagelijkse uitgaven, terwijl een cold wallet te vergelijken is met een kluis voor het bewaren van spaargeld.
Hoe een cold wallet is opgebouwd
In een cold wallet bevindt zich een speciale chip (een aparte microcontroller, ook wel Secure Element of SE genoemd) die privésleutels genereert en opslaat. Deze sleutels worden gebruikt om transactiehandtekeningen te creëren, maar ze verlaten het apparaat nooit, wat de verhoogde beveiliging van cold wallets creëert.
Wanneer je een cryptowallet aanmaakt, genereert deze een seed phrase (meestal 12 of 24 woorden). Deze is nodig om de toegang te herstellen als de cryptowallet verloren of beschadigd raakt. Vanuit deze seed phrase wordt een sleutelhiërarchie opgebouwd (volgens de BIP32/BIP44-standaarden): duizenden adressen voor verschillende munten en transacties worden gecreëerd vanuit één hoofdsleutel.
Hoe de sleutelhiërarchie wordt gevormd
Eerst genereert de cryptowallet een willekeurig getal van grote lengte (bijvoorbeeld 128 of 256 bits). Dit getal wordt de hoofdsleutel genoemd. De hoofdsleutel wordt opgedeeld in groepen en vergeleken met een lijst van standaardwoorden (volgens de BIP39-standaard 2048 woorden).
In feite is de seed phrase je hoofdsleutel, maar dan in leesbare vorm. Deze woorden hebben natuurlijk geen betekenis en zijn in de algemene zin geen “phrase” (een betekenisvolle reeks woorden).
Met behulp van de hoofdsleutel kan de cryptowallet een onbeperkt aantal unieke Bitcoin-adressen aanmaken. Telkens wanneer u bitcoins ontvangt, geeft de wallet een nieuw adres uit deze reeks uit. Alle adressen zijn gekoppeld aan uw 12 of 24 woorden, dus zelfs als u duizend adressen hebt, krijgt u via de seed phrase weer toegang tot al uw tegoeden wanneer u de cold wallet herstelt.
Met deze aanpak kunt u:
- Beheer meerdere e-mailadressen met één seed phrase.
- Behoud uw privacy, want u kunt voor elke transactie een nieuw adres gebruiken.
- Herstel de toegang tot alle tegoeden, zelfs als het apparaat verloren gaat, mits deze woorden bewaard blijven.
Dat wil zeggen dat al je sleutels gekoppeld zijn aan één hoofdsleutel, waarmee je alle andere sleutels kunt herstellen.
Een transactie ondertekenen, stap voor stap.
Eerst wordt de transactie aangemaakt op een computer of telefoon: u geeft het adres van de ontvanger en het over te maken bedrag op. In dit stadium is de transactie nog niet ondertekend en kan deze nog worden gewijzigd.
“Niet ondertekend” betekent dat er geen speciale tekenreeks aan is toegevoegd waarmee, via uw cryptowalletadres, kan worden geverifieerd dat u deze transactie specifiek met uw privésleutel hebt aangemaakt.
Vervolgens wordt de transactie overgezet naar de cold wallet. Dit proces kan plaatsvinden via USB, Bluetooth, QR-codes of een geheugenkaart, afhankelijk van het model cryptowallet.
Het adres en het bedrag van de ontvanger worden weergegeven op het scherm van de cold wallet, zodat u kunt controleren of deze overeenkomen met wat u hebt ingevoerd. Dit is belangrijk, omdat malware op de computer kan proberen het adres te wijzigen voordat de betaling wordt verzonden.
Na verificatie bevestigt u de transactie door op een knop op het apparaat te drukken. Op dat moment gebruikt de cryptowallet uw privésleutels, die erin zijn opgeslagen, om de transactie te ondertekenen. De privésleutels verlaten de cryptowallet niet en worden niet naar buiten verzonden.
Na ondertekening stuurt de cryptowallet de ondertekende transactie terug naar de computer, die deze vervolgens naar het Bitcoin-netwerk kan verzenden. Vanaf dat moment is de transactie onveranderlijk en wacht deze op bevestiging op de blockchain.
Back-up en herstel
Zoals we al weten, wordt een back-up gemaakt met behulp van de seed phrase. Het back-upproces zelf komt er dus op neer dat je deze woorden zorgvuldig op papier schrijft en ze op een veilige plek bewaart, bijvoorbeeld in een kluis of een bankkluis.
Het is ten zeerste af te raden om deze seed phrase online op te slaan. Als uw seed phrase op het netwerk terechtkomt, kan deze als gecompromitteerd worden beschouwd. Daarna moet u een nieuwe cold wallet aanmaken en al uw tegoeden van de oude wallet ernaartoe overmaken. Dit helpt uw cryptomunten veilig te houden.
Als de cryptowallet verloren, gestolen of plotseling defect raakt, is herstel eenvoudig:
- Je koopt een nieuwe cryptowallet van hetzelfde of een ander model.
- Tijdens de installatie selecteert u ‘Portemonnee herstellen’ in plaats van ‘Nieuw aanmaken’.
- U voert uw seed phrase exact woord voor woord in.
- Het apparaat maakt een nieuwe hoofdsleutel aan en herstelt alle adressen en de toegang tot uw tegoeden.
Omdat alle adressen gekoppeld zijn aan uw seed phrase, krijgt u toegang tot alle bitcoins en andere cryptovaluta die in de wallet waren opgeslagen, zelfs als u meerdere adressen voor verschillende transacties hebt gebruikt.
Als u de beveiliging wilt verbeteren, ondersteunen sommige cryptowallets (zoals de Trezor Model T of Keystone) de zogenaamde Shamir Backup. Dit is een manier om de seed phrase op te splitsen in verschillende delen die voor herstel samengevoegd moeten worden. Hierdoor kunnen de fragmenten op verschillende locaties worden opgeslagen, wat het risico op verlies van toegang bij diefstal of brand verkleint.
Soorten cold wallets voor cryptocurrency
Cold wallets zijn er in verschillende soorten, en elk type biedt de mogelijkheid om cryptovaluta op te slaan zonder constante internetverbinding. De keuze hangt af van hoeveel geld je hebt, hoe vaak je van plan bent cryptovaluta te gebruiken en hoe belangrijk fysieke bescherming voor je is.
Hardware crypto wallets Dit zijn afzonderlijke apparaten (Ledger, Trezor, Coldcard, Keystone) die de seed phrase en sleutels zelf genereren en opslaan, transacties ondertekenen, maar geen privégegevens naar buiten toe prijsgeven. Ze zijn gebruiksvriendelijk en geschikt voor de meeste gebruikers, en combineren gemak met een hoog beveiligingsniveau.
Offline computers Dit zijn oude laptops of computers waarop een cryptowallet wordt aangemaakt en transacties worden uitgevoerd zonder internetverbinding. Ze worden gebruikt door enthousiastelingen en bedrijven voor verbeterde beveiliging, maar vereisen wel inzicht in de processen en strikte discipline. Configuratiewijzigingen, defecte componenten, software-updates – dit alles vormt een bedreiging voor uw beveiliging.
Papieren portemonnees Dit zijn privésleutels of seed phrases die op papier zijn afgedrukt of geschreven. Deze methode werd vaak gebruikt in de beginjaren van de Bitcoin-ontwikkeling: er waren toen nog geen handige cryptowallets, dus papier leek een eenvoudige oplossing om sleutels offline op te slaan. Nu zijn papieren wallets vrijwel irrelevant: ze zijn onhandig voor reguliere transacties en het risico dat het papier verloren gaat of beschadigd raakt, is te groot.
Cryptowallets met luchtbrug Sommige wallets (Coldcard, Keystone) kunnen volledig functioneren zonder via USB met een computer verbonden te zijn. Gegevens voor het ondertekenen en verzenden van transacties worden overgedragen via microSD-kaarten of QR-codes. Dit vermindert het risico op aanvallen via de kabel en verhoogt tevens de mate van fysieke isolatie.
Metalen kopieën van zaadzinnen Hoewel het geen fysieke portemonnees zijn, worden metalen plaatjes (Cryptosteel, Billfodl) gebruikt voor de back-upopslag van de seed phrase. Dit is in feite dezelfde papieren portemonnee, maar dan van metaal voor extra betrouwbaarheid. Je kunt hem in een kluis bewaren; deze manier van opslaan vergroot de kans op verlies bij brand, hoge luchtvochtigheid, overstromingen of simpelweg het bederven van papier of inkt na verloop van tijd.
Conclusie
Cold wallets blijven een van de meest betrouwbare manieren om bitcoins en andere cryptovaluta op te slaan. Het principe is eenvoudig: privésleutels worden geïsoleerd bewaard, waardoor het risico op verlies van geld door diefstal of hacking wordt geminimaliseerd. Ze zorgen ervoor dat u niet afhankelijk bent van een specifiek apparaat of dienst: met een correct opgeslagen seed phrase kunt u de toegang tot uw geld herstellen, zelfs als de cryptowallet verloren gaat of defect raakt.
Het gebruik van cold crypto wallets vereist discipline: schrijf de seed phrase zorgvuldig op, bewaar deze niet online, houd de fysieke staat van het apparaat in de gaten en verlies de controle over je back-up niet uit het oog. Maar juist deze eenvoudige regels zorgen voor de beveiliging die in principe onmogelijk te bereiken is bij het bewaren van cryptocurrency op een exchange of in hot wallets.