Comment ça marche
Phoenix repose sur lightning-kmp, le portage Kotlin Multiplatform du nœud Eclair d'ACINQ. Chaque installation démarre un vrai nœud Lightning qui vit sur l'appareil et se déverrouille avec une seed BIP-39 de 12 mots conservée par l'utilisateur. Les fonds sont protégés par un canal Lightning dynamique unique ouvert vers ACINQ ; le portefeuille s'appuie ensuite sur le splicing — une évolution du protocole portée par ACINQ — pour agrandir ou réduire ce canal on-chain sans fermeture-réouverture. Les envois passent par les paiements trampoline et, plus récemment, par les offres BOLT12 réutilisables ; la réception utilise le flux pay-to-open d'ACINQ, qui convertit un paiement on-chain entrant en capacité Lightning. Phoenix est mobile uniquement — Android et iOS — et publié sous le dépôt ACINQ/phoenix sur GitHub en licence Apache 2.0. Une variante sans interface, baptisée phoenixd, vise les auto-hébergeurs.
KYC et confidentialité
Pas de compte, pas d'email, pas de téléphone, pas de pièce d'identité. Installer l'application, c'est tout l'onboarding. L'histoire de la vie privée est plus nuancée que celle de l'installation. Comme le portefeuille ouvre toujours son canal vers ACINQ, ACINQ devient l'unique pair Lightning direct de l'utilisateur et voit les métadonnées de chaque paiement qui quitte l'appareil : montant, horodatage, et — en pratique — destination, puisque la plupart des routes de Phoenix sont courtes. La réception dévoile la même chose au LSP. ACINQ ne publie aucun engagement formel de no-logs, et Tor n'est pas intégré. Le 3 mai 2024, ACINQ a retiré Phoenix des magasins d'applications américains, invoquant la requalification par le FinCEN des logiciels auto-conservés et LSP en activité de service financier ; les installations US existantes ont été invitées à vider leur portefeuille on-chain.
Forces et limites
La force de Phoenix est structurelle : c'est l'un des rares portefeuilles mobiles où l'utilisateur détient les clés d'un vrai nœud Lightning, et non d'un solde custodial maquillé en tel. Le splicing rend la gestion de la liquidité on-chain banale — déplacer des sats n'exige plus de fermer un canal. La sauvegarde de la seed est du BIP-39 standard, récupérable sur phoenixd si le projet mobile venait à disparaître. Les limites sont le prix de ce confort. Le rôle de LSP d'ACINQ concentre la visibilité du routage sur une seule partie, ce que pointent à juste titre les puristes de la vie privée formés à Wasabi. L'exposition au mempool lors des splices peut aussi trahir le calendrier d'activité aux observateurs de la chaîne. Et les utilisateurs américains sont désormais bloqués au niveau des magasins, le sideloading restant la seule échappatoire sous Android.
Verdict
Phoenix est l'UX Lightning auto-conservée la plus propre sur un téléphone, livrée par l'équipe qui a écrit l'une des implémentations de référence du protocole. Sa faiblesse n'est pas la garde mais la visibilité : le confort vient du routage par ACINQ, et ACINQ voit ce qui passe. À utiliser pour dépenser en privé des sats Lightning depuis la chaîne, pas pour cacher des graphes de paiement à un pair déterminé. Note : A- (8,9/10). Confiance : TRUSTED.
Phoenix offre l'UX Lightning auto-conservée la plus propre sur téléphone, mais le rôle de LSP d'ACINQ concentre la visibilité du routage sur un seul pair. À utiliser pour détenir et dépenser ses propres sats ; à coupler à du mélange ou à des swaps atomiques pour masquer un graphe de paiements. Note : A- (8,9/10). Confiance : TRUSTED.
