BTC$63883₴2.85М+0.3%ETH$1840₴82.2К−0.8%SOL$75.07₴3352−0.1%HYPE$59.70₴2666−2.4%курс ₴44.65 / $1−0.1%
Головна / Гайди / Холодний гаманець зі старого смартфона за $0: два способи — простий і повний air-gap
Гайд

Холодний гаманець зі старого смартфона за $0: два способи — простий і повний air-gap

ZachXBT радить викинути апаратні гаманці й зробити холодний зі старого смартфона. Показую два власні способи — найпростіший на звичайному застосунку і повний air-gap через QR-підпис — з чесними плюсами й мінусами кожного.

ОлегОлег·Оновлено 17 липня 2026 р. · 12 хв
Холодний гаманець зі старого смартфона за $0: два способи — простий і повний air-gap

На початку липня ончейн-детектив ZachXBT написав у Telegram фразу, яка рознеслась по всій крипто-тусовці: «усі апаратні гаманці — повне сміття». Замість Ledger він порадив досвідченим користувачам виділений смартфон, скинутий до заводських і назавжди відрізаний від мережі. Покрокові гайди на цю тему вже гуляють мережею — я не переписуватиму чужий. Дам тобі власний розклад із двома шляхами: від найпростішого, який під силу будь-кому за десять хвилин, до повного air-gap для тих, хто тримає серйозні суми. Обереш свій рівень.

Звідки взялась ідея викинути апаратний гаманець

ZachXBT — один із найвідоміших ончейн-розслідувачів крипторинку, тож коли він публічно радить викинути Ledger, це не порожні слова. Логіка така: Ledger розрісся з простого підписувача транзакцій у комбайн із купівлею, свопами і стейкінгом прямо в застосунку — а це збільшує поверхню атаки. Кожне нове оновлення Ledger Live, за його словами, ризикує зламати щось базове саме тоді, коли тобі треба підписати транзакцію.

Найсвіжіший привід — квітень 2026-го: фейковий застосунок «Ledger Live» пройшов модерацію Apple App Store і два тижні висів у сторі під виглядом офіційного. Він показував ідентичний екран «відновлення гаманця» і просив ввести 24-слівну seed-фразу. Постраждало щонайменше 50 людей на $9,5 млн — включно з $3,23 млн в USDT одним переказом (CoinDesk).

Ширший фон теж на користь тези «самозберігання крихке»: ще в січні 2026-го жертва соціальної інженерії — зловмисник видав себе за підтримку Trezor і виманив seed-фразу — втратила понад $282 млн у біткоїні й лайткоїні (CoinDesk). Цей кейс не про технічний збій — він про те, що жоден чип не рятує, якщо власника обманом змусили назвати ключ самому. Запам’ятай це, бо воно однаково стосується обох способів нижче.

Спершу чесно: що взагалі робить гаманець «холодним»

Холодний (offline / air-gapped) гаманець — це пристрій, який зберігає приватний ключ так, що ключ ніколи фізично не торкається інтернету. Ось і все визначення. Сучасний смартфон має власний апаратний модуль безпеки — окремий чип, ізольований від системи: Secure Enclave в iPhone (з 5s), Titan M2 у Pixel 6+, Knox Vault у частині Samsung Galaxy.

Тут одразу чесний нюанс, який часто замовчують: чи справді твій seed лежить у цьому чипі — залежить від конкретного застосунку. Багато мобільних гаманців тримають ключ у зашифрованому сховищі застосунку (OS keystore), а не у виділеному секюр-елементі, як це робить справжній апаратний гаманець. Тобто захист ключа на телефоні зазвичай слабший, ніж на спеціалізованому пристрої, — не уявляй собі «залізний сейф» там, де його може й не бути.

І це ще не все: сам чип — лише половина. Друга половина: чи виходить пристрій у мережу взагалі. Саме тут два способи розходяться. У першому телефон іноді онлайн, тому це «виділений», а не по-справжньому холодний гаманець. У другому телефон офлайн назавжди — і аж тоді він холодний. Не плутай ці дві речі, бо від цього залежить, скільки грошей на такий гаманець можна класти.

Спосіб 1 — найпростіший: виділений телефон + звичайний гаманець

Це шлях для звичайного користувача, якому слово «air-gap» нічого не каже, а розбиратися з QR-підписом немає бажання. Береш старий телефон і робиш його єдиним пристроєм тільки для крипти — без пошти, без соцмереж, без ігор.

Як зробити:

  1. Онови ОС до останньої версії для цієї моделі, зроби повний factory reset.
  2. Постав ОДИН звичайний self-custody застосунок — на вибір під твою мережу:
    • Phantom — якщо ти переважно в Solana, але вміє й Ethereum, Bitcoin, Polygon, Base.
    • Rabby — найкращий для EVM-мереж: він показує, що саме ти підписуєш, і попереджає про підозрілі транзакції й отруєння адрес.
    • MetaMask — найпоширеніший для Ethereum і всього EVM, максимум сумісності з dApp.
  3. Згенеруй новий гаманець на цьому телефоні, seed перепиши на папір від руки — без фото, без хмари, без буфера обміну.
  4. Постав PIN і біометрію на застосунок, увімкни автоблокування екрана.
  5. Тримай Wi-Fi вимкненим за замовчуванням, вмикай лише коли реально треба відправити транзакцію.

Плюси:

  • Робиться за 10 хвилин, знайомими застосунками — жодної нової науки.
  • Твій ключ у тебе, не на біржі. Це вже кардинально безпечніше за зберігання на біржі чи на щоденному телефоні з півсотнею інших застосунків.
  • Можеш заходити в dApp і підписувати транзакції напряму, коли треба.

Мінуси, чесно:

  • Це не справжній холодний гаманець. Коли телефон онлайн — це гарячий гаманець, просто на окремому пристрої. Шкідливий застосунок чи фішинговий сайт можуть дістати тебе так само, як на будь-якому телефоні.
  • Захист тримається на дисципліні: щойно поставиш на цей телефон ще щось «на секундочку» — ізоляція зникла.
  • Для великих сум цього мало. Це рівень «щоденний і середній гаманець», а не «сейф на роки».

Тобто спосіб 1 — це не про максимальний захист, а про те, щоб за 10 хвилин прибрати ключі з небезпечного місця в трохи безпечніше. Для більшості з невеликими сумами цього вже досить. Якщо ж хочеш справжній холод — читай далі.

Спосіб 2 — повний air-gap: телефон офлайн назавжди

Оце вже той метод, який має на увазі ZachXBT. Тут телефон ніколи більше не виходить у мережу, а транзакції підписуються через камеру й QR-коди. Ключ фізично не має способу витекти в інтернет, бо інтернету в пристрої немає.

Як зробити:

  1. Онови й скинь. Онови ОС, зроби factory reset — щоб на пристрої не лишилось жодного стороннього застосунку.
  2. Фізично відріж від мережі. Витягни SIM, вимкни Wi-Fi і Bluetooth, увімкни режим польоту. Після цього — ніколи не підключай пристрій до жодної мережі.
  3. Постав застосунок для офлайн-підпису з офіційного сайту розробника (не з випадкового посилання в пошуку):
    • AirGap Vault — зроблений саме для ізольованого смартфона, тримає ключ офлайн; у парі з ним на онлайн-телефоні ставиш AirGap Wallet, який бачить баланси й формує транзакції. Підтримує Bitcoin, Ethereum і EVM-мережі.
    • Electrum — якщо тобі потрібен лише Bitcoin: підписує офлайн через QR або формат PSBT.
  4. Згенеруй seed виключно на офлайн-пристрої. Якщо ключ хоч раз промайнув на пристрої з інтернетом — довіра втрачена, починай заново. Перепиши слова на папір, а краще — виб’єш на металевій пластині (папір горить і розмокає).
  5. Підписуй транзакції через QR. Онлайн-телефон показує непідписану транзакцію QR-кодом → офлайн-телефон сканує камерою, підписує офлайн, показує підписану транзакцію новим QR → онлайн-телефон сканує і відправляє її в мережу. Камера й екран — єдині «дроти» між пристроями.
  6. Протестуй на копійках. Заведи символічну суму, проведи повний цикл туди-назад, і лише тоді довіряй гаманцю щось серйозне.

Плюси:

  • Це справжній холод: ключ не бачить мережі ніколи. Той самий принцип QR-обміну, що й у SafePal — жодного проводу чи Bluetooth між гарячим і холодним пристроєм.
  • Безкоштовно, а секьюр-чип сучасного флагмана не гірший за чип бюджетного апаратного гаманця.

Мінуси, чесно:

  • Це не «на 5 хвилин»: треба розібратись у застосунках і QR-flow, помилка на будь-якому кроці — і сенс зникає.
  • Немає сертифікованого елемента безпеки (як EAL5+ у частини Ledger) і немає служби відновлення. Уся страховка — твій паперовий чи металевий бекап.
  • Старий телефон може просто здохнути — батарея, екран, плата. «Гаманець» у сервіс не понесеш.

Який спосіб кому

Спосіб 1: виділений телефонСпосіб 2: повний air-gap
Складність10 хвилин, знайомі застосункигодина + звичка до QR-підпису
Реальний холодні (гарячий на окремому пристрої)так (офлайн назавжди)
Комуневеликі й середні суми, новачоксерйозні суми, готовий вчитись
Головний ризиконлайн-загрози, як у будь-якого гарячоготвоя помилка в налаштуванні + втрата бекапу

Мій підхід простий: якщо мова про кишенькові суми — досить способу 1, не ускладнюй собі життя. Щойно на гаманці з’являється сума, яку буде боляче втратити, — переходь на спосіб 2 або бери сертифікований апарат.

Небезпеки, про які легко забути в обох способах

  • Malware на онлайн-пристрої може підмінити адресу отримувача. Звіряй адресу саме на пристрої, де підписуєш, а не тільки на онлайн-телефоні.
  • Скріншот seed-фрази чи перехоплення екрана — і чип уже ні до чого. Апаратний модуль захищає ключ від видобування, але не від того, що хтось сфотографував фразу.
  • Немає бекапу — немає грошей. На відміну від Ledger, тут ніхто не допоможе відновити доступ, крім твого власного паперу чи металу.
  • Прошивку теж треба оновлювати (у способі 1) — застарілі патчі безпеки самі стають діркою.

Я вже писав, як людина втратила $100 000 у Telegram-гаманці через фішинговий клон сайту — там жодного холодного гаманця не було взагалі, і саме тому одна неуважна мить коштувала всього депозиту. Урок той самий: технологія не рятує від неуважності, вона тільки піднімає планку для того, хто краде.

Як роблю я

Ще раз коротко, як я сам це налаштовую:

  1. Для щоденних і середніх сум — виділений старий телефон із одним застосунком (спосіб 1), Wi-Fi вимкнений за замовчуванням.
  2. Для того, що не хочу втратити, — окремий телефон у повному air-gap (спосіб 2) або сертифікований апарат.
  3. Seed завжди генерую на самому пристрої, переписую від руки, дублюю на металі — без фото і хмари.
  4. Будь-який новий гаманець спершу обкатую на копійках повним циклом туди-назад.
  5. На «холодному» пристрої немає нічого, крім гаманця. Ніяких «на секунду поставлю месенджер».

Скажу чесно й від себе: для більшості звичайних людей із невеликими сумами сертифікований апаратний гаманець за $50–80 (Trezor, SafePal, Keystone) лишається безпечнішим і простішим дефолтом, ніж саморобка з телефона — там менше кроків, де можна помилитись, є довірений екран і офіційне відновлення. Заява ZachXBT «усі апаратні гаманці — сміття» — це думка людини, яка сама є мішенню для хакерів; для звичайного користувача вона перебільшена.

Метод зі старим смартфоном я вважаю робочим, але як навчання концепції air-gap, запасний або другий гаманець чи варіант, коли на апарат реально нема грошей — а не як головний сейф для серйозних сум. Головне — чесно вибрати свій рівень, а не зупинятись на «поставив застосунок і забув».

У чому різниця між виділеним телефоном і повним air-gap?

Виділений телефон (спосіб 1) періодично виходить онлайн, тому технічно лишається гарячим гаманцем — просто на окремому пристрої без сторонніх застосунків. Повний air-gap (спосіб 2) означає, що телефон офлайн назавжди, а транзакції підписуються через QR-коди, і ключ ніколи не бачить інтернету. Перше — це зручність і базова ізоляція, друге — справжній холодний захист для великих сум.

Який застосунок обрати для найпростішого способу?

Залежить від мережі: Phantom зручний, якщо ти переважно в Solana (але вміє й Ethereum, Bitcoin, Base), Rabby — найкращий для EVM-мереж завдяки попередженням про підозрілі транзакції, MetaMask — найпоширеніший і максимально сумісний з dApp. Головне — ставити лише один застосунок з офіційного джерела і згенерувати ключ саме на цьому пристрої.

Чи справді виділений телефон із Phantom або MetaMask — це холодний гаманець?

Ні, і це важливо розуміти чесно. Поки телефон виходить онлайн, гаманець залишається гарячим — просто ізольованим від твого щоденного пристрою. Це вже помітно безпечніше за зберігання ключів на основному телефоні чи біржі, але для справжнього холоду потрібен повний air-gap із офлайн-підписом через QR.

Який телефон підходить — Android чи iPhone?

Обидва, якщо модель ще отримує офіційні оновлення безпеки і не має джейлбрейка чи root. ZachXBT радить саме iPhone (Secure Enclave з 5s), але метод працює й на Android: у Pixel 6+ це Titan M2, у частини Samsung Galaxy — Knox Vault. Головне не марка, а актуальні патчі безпеки.

Що робити, якщо загубив або зламав телефон-гаманець?

Відновити гаманець на новому пристрої за паперовою чи металевою копією seed-фрази — для air-gap теж офлайн і з нуля. Без цього бекапу доступ до коштів втрачається назавжди: на відміну від апаратних гаманців, тут немає служби підтримки, яка допоможе.

Чи справді цей спосіб повністю безкоштовний?

Так, якщо в тебе вже є придатний старий смартфон: усі згадані застосунки (Phantom, Rabby, MetaMask, AirGap Vault, Electrum) безкоштовні. Витрати можливі тільки якщо доводиться купувати пристрій, що відповідає вимогам, з нуля.

ДисклеймерЦей матеріал — особистий досвід автора, загальнодоступна інформація та власне трактування подій. Він має виключно інформаційний характер і не є індивідуальною інвестиційною, фінансовою, юридичною чи податковою порадою. Криптовалюти — високоризиковий і волатильний актив. Будь-які дії ти вчиняєш на власний розсуд і під власну відповідальність; автор і сайт не відповідають за можливі наслідки рішень, ухвалених на основі цього матеріалу. Перед важливими кроками роби власну перевірку (DYOR) і за потреби звертайся до ліцензованого фахівця.
Олег
Олег · крипто-ентузіаст

7 років у крипті. Користуюсь усіма біржами особисто, пишу тільки про власний досвід. Без води, хайпу та інфоциганства.