feat(lifecycle): drop mnemonic on app-hidden

[Blume1977]

Supersedes Blume1977#1 (closed) — same intent, rebased onto post-#483 develop, addresses TaprootFreak's two review points by pushing the precondition into WalletService instead of catching it at the call site.

Why

PR #472 / #483 added an explicit WalletService.lockCurrentWallet() after every sign and a 60 s post-unlock safety-net timer. Reviewer (#468) flagged the residual gap in the second-pass review:

🟡 iOS suspendiert Dart-Timers im Background — 60s-Cap ist Best-Effort. App-Lifecycle ruft lockCurrentWallet nicht explizit auf Hide auf — könnte ein eigenes Follow-up-Issue werden.

This closes that gap.

What changed

Three atomic commits:

1. feat(app-store): isWalletLoaded getter — non-throwing predicate so services can early-return defensively. Named distinctly from WalletService.hasWallet() (which is persisted state, not in-memory load state) so the two predicates can't be confused at the call site.

2. fix(wallet-service): no-op lockCurrentWallet when no wallet is loaded — Onboarding-path guard inside WalletService itself. An alternative would have been a try/catch at the call site, which would silently mask any future regression in lockCurrentWallet. Pushing the precondition into the service means the call site stays clean and future extensions (DB write, audit log) won't get their errors quietly caught. Two regression tests added: the !isWalletLoaded no-op, and a lifecycle-hidden-during-active-sign scenario that pins the counter-underflow guard.

3. feat(lifecycle): lock the wallet on hidden — LifecycleInitializer._onHidden() fires unawaited(getIt<WalletService>().lockCurrentWallet()). No try/catch, no helper method — the service is defensive on its own. Tests cover happy path + the two no-call states (paused/resumed).

Why hidden (not paused)

• Fires earlier than paused on iOS (covers multitasking switcher + notification drag-down).
• Android raises it via the unified lifecycle pipeline.
• PinAuthCubit already uses _onHidden for its lockout-time stamp — semantically aligned.

Scope gap (deliberately deferred)

This PR drops the mnemonic stored in AppStore.wallet. It does not clear the mnemonic temporarily held in CreateWalletState.wallet (a Cubit state inside the create-wallet flow) — that copy lives independent of AppStore and lockCurrentWallet is a no-op for it. Backgrounding during onboarding still leaves the just-generated mnemonic in cubit memory until the cubit closes. Pre-existing condition, not introduced here. Worth a follow-up if the threat model demands it.

Why no test for "lifecycle doesn't catchError the unawaited future"

The architecture decision — the lifecycle caller deliberately does not attach .catchError or wrap in try/catch — is locked in by the inline comment in _onHidden, not by a test. Every variant I tried (thenThrow, thenAnswer((_) async => throw …), Future.error(...)) routed the failure through the testWidgets framework's synchronous catch path rather than the Zone uncaught-error sink that tester.takeException() reads from. The routing differs between Flutter 3.41 (CI) and 3.44 (local), so a test that's green locally would flake on CI. Brittle false-positives are worse than the source comment for catching a future regression at the call site — every code reviewer reads _onHidden.

Reviewer feedback (TaprootFreak)

Iteration after the first review:

• Naming-Kollision (Blocker 1) — renamed hasWallet to isWalletLoaded on AppStore to avoid colliding with WalletService.hasWallet() which has different semantics.
• Holder-Counter test gap (Blocker 2) — added a test that simulates ensure → unpaired lifecycle lock → finally lock, verifying the underflow guard prevents counter drift and the next ensure cycle still works.
• Inline comment too long (R3) — condensed from 15 lines to 7; rationale moved to commit message + this PR body.
• Microtask ordering note (R4) — added a one-line note in the lifecycle hook for any future contributor who introduces ensureCurrentWalletUnlocked() in _onResumed.
• Test setup drift (R5) — isWalletLoaded = true moved out of the global setUp into per-group setUp so unrelated groups don't carry the stub and the negative path isn't masked.
• Doc accuracy (R7) — clarified that both LoadCurrentWalletEvent and LoadWalletEvent populate AppStore.wallet.

Why the architecture diverges from the original draft (Blume1977#1): previous incarnation wrapped lockCurrentWallet() in a try { } on Exception catch (e) helper in the lifecycle file. Reviewer pushed back that this would silently swallow future regressions (e.g. DB-write failures from a logging extension). Single Responsibility: the "is wallet loaded" precondition belongs to WalletService, not its callers.

UX impact

None visible. The next sign re-decrypts the mnemonic via the OS-keystore-wrapped key in sub-100 ms.

Test plan

• `flutter analyze` — clean
• `flutter test --coverage` — 1424 / 1424 green (1417 develop baseline + 7 new: 2 isWalletLoaded, 1 no-wallet lock, 1 unpaired-lock counter race, 3 lifecycle states)
• Local CI parity run: `flutter pub get` → `dart run tool/generate_localization.dart` → `dart run tool/generate_release_info.dart` → `flutter pub run build_runner build` → `flutter analyze` → `flutter test --coverage` → `lcov` filter — all green; `bitbox-audit` 0 findings
• iOS manual: sell → swipe up to multitasking → return → next sign re-decrypts in <100 ms, no PIN re-prompt within PinAuthCubit's lockoutDuration
• iOS manual: sell → home button → wait 10 min → return → PIN re-prompt as before (unchanged)
• Android manual: sell → recent-apps switcher → return → same as iOS path 1
• Onboarding manual: fresh install → reach onboarding screen → background app → return → no crash, no unhandled async error

[TaprootFreak]

Review-Findings (Logik + Konsistenz)

Zwei parallele Reviews — hier konsolidiert mit den Punkten, die vor Merge adressiert werden sollten.

Blocker

1. Naming-Kollision hasWallet
lib/packages/service/app_store.dart:25 (neu) und lib/packages/service/wallet_service.dart:222 (bestehend) tragen jetzt denselben Namen mit unterschiedlicher Semantik:

• AppStore.hasWallet → in-memory (_wallet != null)
• WalletService.hasWallet() → persistenz-basiert (currentWalletId != null)

Im Onboarding (currentWalletId gesetzt, _wallet aber noch nicht geladen) divergieren beide. Falle für jeden Folge-Caller.
Vorschlag: AppStore.hasWallet → isWalletLoaded umbenennen (oder umgekehrt WalletService konsolidieren).

2. Holder-Counter-Race bei _onHidden während aktivem Sign-Flow
lib/packages/service/wallet_service.dart:177-186. Sequenz: Sign-Flow setzt _activeUnlockHolders=1 und awaittet auf Broadcast → User backgrounded → _onHidden ruft lockCurrentWallet() → Counter geht auf 0 → _lockWalletInPlace() flippt zu SoftwareViewWallet. Der Sign-Flow ruft im finally nochmal lockCurrentWallet() — Counter ist bereits 0, der zweite Lock läuft auf einem bereits gelockten Wallet. Kein Crash dank if (current is! SoftwareWallet) return, aber die 1:1-Invariante ensure ↔ lock ist gebrochen und nicht testabgesichert.
Vorschlag: Test ergänzen, der ensureCurrentWalletUnlocked() → _onHidden() → lockCurrentWallet()-Finally durchspielt und verifiziert, dass der Counter konsistent bleibt.

Empfehlungen

3. Kommentar-Länge in lifecycle_initializer.dart
lib/setup/lifecycle_initializer.dart:56-70 — 15 Zeilen Inline-Erklärung gehören in PR-Body / Commit-Message, nicht in den Code. Bricht mit der Brevity der umliegenden _onResumed/_onPaused-Handler. Auf 3-4 Zeilen kondensieren.

4. Race-Doku für unawaited
lib/setup/lifecycle_initializer.dart:69 — heute kein Bug, weil _lockWalletInPlace synchron ist. Wenn jemand später ensureCurrentWalletUnlocked() in _onResumed ergänzt, ist die Microtask-Ordering zwischen pending Lock-Future und neuem Ensure undefiniert. Als Kommentar oder Architecture-Test absichern.

5. Test-Setup-Drift
test/packages/service/wallet_service_test.dart:58-61 — globales appStore.hasWallet = true für alle Tests verdeckt den !hasWallet-Pfad. Besser in setUp pro Group setzen.

6. PR-Description vs. Realität: Onboarding-Mnemonic
Die Mnemonic während Wallet-Erstellung lebt in CreateWalletState.wallet (Cubit), nicht im AppStore. lockCurrentWallet() no-op't dort. Der PR verhindert den Crash beim Background im Onboarding (gut), löscht aber die Mnemonic in diesem State nicht. Sollte im PR-Body explizit als pre-existing scope gap / Follow-up dokumentiert werden, sonst entsteht der Eindruck, das Threat-Model sei vollständig abgedeckt.

7. Doku-Ungenauigkeit AppStore.hasWallet
lib/packages/service/app_store.dart:22-27 — Kommentar suggeriert LoadCurrentWalletEvent als einzigen Setzer. Tatsächlich setzt auch LoadWalletEvent via _updateWallet. Korrigieren.

Positiv

• Saubere Commit-Trennung (getter → guard → lifecycle hook), jeder Commit eigenständig review-/revert-bar.
• Architektur-Entscheidung „Service-interner Guard statt Caller-try/catch" ist richtig.
• Architecture-Lock-In-Test in lifecycle_initializer_test.dart:54-83 ist genau das richtige Pattern, um die unawaited-Wahl gegen Regressionen abzusichern.
• Hook-Wahl hidden (statt paused) ist begründet und konsistent mit PinAuthCubit.
• PIN-Lock und Wallet-Lock sind sauber orthogonal — kein „PIN locked, Wallet unlocked"-Zustand möglich.

Vor Merge

1. Naming fixen (Blocker 1)
2. Sign-mid-flight + Hidden-Test ergänzen (Blocker 2)
3. Kommentare kondensieren (Empfehlung 3)
4. PR-Body um Onboarding-Scope-Gap ergänzen (Empfehlung 6)

5 und 7 sind Nice-to-have, könnten aber in derselben Iteration mit.

[TaprootFreak]

Re-Review nach neuen Commits (d1e533f)

Status der vorherigen Findings

#	Finding	Status	Fix
1	Naming-Kollision hasWallet	✓ adressiert	AppStore.isWalletLoaded (lib/packages/service/app_store.dart:33), Doc trennt In-Memory- von Persistenz-Semantik
2	Holder-Counter-Race-Test (Sign-mid-flight + Hidden)	✓ adressiert	test/packages/service/wallet_service_test.dart:387-433 — pinnt ensure → unpaired lifecycle-lock → finally-lock → next ensure
3	15-Zeilen-Kommentar in lifecycle_initializer.dart	✓ adressiert	Auf 5 Zeilen kondensiert (lib/setup/lifecycle_initializer.dart:56-60), Rationale wandert in Commit-Body
4	Onboarding-Scope-Gap im PR-Body	✓ adressiert	Eigener Abschnitt "Scope gap (deliberately deferred)" im PR-Body
5	Doku-Ungenauigkeit AppStore.hasWallet-Setter	✓ adressiert	Doc nennt jetzt beide Pfade (LoadCurrentWalletEvent + LoadWalletEvent)

Alle fünf sauber abgehakt. Per-Group-setUp für isWalletLoaded (wallet_service_test.dart:320-322, :375-378) statt globalem Stub ist die richtige Variante.

Neue Findings

[gering] Staler Test-Kommentar — test/setup/lifecycle_initializer_test.dart:63 referenziert noch appStore.hasWallet, sollte appStore.isWalletLoaded sein. Einzeiler.

[info] Race _onHidden vs. _unlockInFlight — lib/packages/service/wallet_service.dart:153-162: Wenn _onHidden mitten in einem pending Unlock feuert, dekrementiert lockCurrentWallet den Counter auf 0 und _lockWalletInPlace no-op't (Wallet ist noch SoftwareViewWallet). Anschließend completes das inFlight-Future und schreibt SoftwareWallet in _appStore.wallet. Mnemonic lebt damit kurz nach _onHidden wieder im Speicher, bis das Sign-Flow-finally lock greift. Zeitfenster <100ms, 60s-Safety-Timer fängt es ab — aber technisch eine Erweichung des deklarierten Ziels "drop mnemonic before iOS suspends isolate". Optional als Follow-up.

[info] Doc-Inkonsistenz — lib/packages/service/app_store.dart:14: Setter ist ohne Doc, während der Getter ausführlich dokumentiert ist. Stilfrage, nicht-blockierend.

[info] Architecture-Lock-In-Test für unawaited-Nichtblockierung fehlt — der Error-Bubble-Test (lifecycle_initializer_test.dart:53-71) ist gut, ein expliziter Sync-Return-Test wäre fast tautologisch. Niedrige Priorität.

Positiv

• Drei atomare Commits mit Begründung im Body — beispielhaft für DFX-Repos
• Doc-Block am isWalletLoaded-Getter nennt beide Setter-Pfade und kontrastiert mit WalletService.hasWallet()
• Architektur-Lock-In-Test zementiert die Designentscheidung "kein try/catch im Caller"
• Kommentar in Test-Setup erklärt warum der Stub lokal statt global ist
• PR-Body ist vollständig (Test-Plan, UX-Impact, Scope-Gap)
• 1425/1425 Tests grün

Gesamturteil

Mergebar. Die fünf Blocker sind adressiert, neue Architektur ist defensiver und gleichzeitig minimaler als die ursprüngliche Variante. Vor Merge sollte nur der staler Test-Kommentar (!appStore.hasWallet → !appStore.isWalletLoaded in lifecycle_initializer_test.dart:63) als Trivial-Commit nachgeschoben oder beim Squash-Merge nachgepflegt werden.

Die Logik-Findings [info] sind Follow-up-würdig, nicht blockierend.

[TaprootFreak]

Re-Review nach Force-Push (d1e533f → 38a69b6)

Reiner Amend des dritten Commits — merge-base mit develop unverändert, die ersten zwei Commits (63e12f2, f480cbd) bit-identisch. Geändert nur lib/setup/lifecycle_initializer.dart (Inline-Kommentar in _onHidden umformuliert/gestrafft) und test/setup/lifecycle_initializer_test.dart (tester.takeException-Architektur-Lock-In-Test gelöscht und durch reinen Erklär-Kommentar ersetzt, netto −15 Zeilen). Keine Produktions-Logik-Änderung.

Status der offenen Findings aus dem letzten Re-Review

#	Finding	Status	Verifikation
1	Staler Test-Kommentar !appStore.hasWallet	✓ FIXED	Durch Löschung des betroffenen Tests; grep hasWallet in lifecycle_initializer_test.dart leer
2	Race _onHidden vs. _unlockInFlight	✗ offen (info)	Race-Fenster <100ms besteht weiter, abgesichert durch Holder-Counter + 60s-Force-Lock (wallet_service.dart:177-191); nicht im Scope dieses PRs
3	app_store.dart:15 Setter ohne Doc	✗ offen (info)	Setter weiter undokumentiert, während isWalletLoaded-Getter ausführlich dokumentiert ist
4	Optionaler unawaited-Test	✓ bewusst nicht adressiert	Begründung in Source (lifecycle_initializer.dart:56-60), Test-Kommentar (lifecycle_initializer_test.dart:61-70) und PR-Body lokalisiert — Flutter-Version-Dispatch-Routing macht Test flaky

Sind die ursprünglichen 5 Blocker noch adressiert?

Blocker	Status
Naming-Kollision hasWallet/isWalletLoaded	✓ unverändert
Holder-Counter-Race-Test	✓ unverändert (wallet_service_test.dart:388)
Inline-Kommentar-Länge	✓ sogar weiter verdichtet
PR-Body Scope-Gap zu CreateWalletState.wallet	✓ unverändert
Doku-Ungenauigkeit (LoadCurrentWalletEvent + LoadWalletEvent)	✓ unverändert

Kein Rückbau.

Neue Findings

• [info] Der ersetzende Erklär-Block in lifecycle_initializer_test.dart:61-70 sind 10 Zeilen reiner Kommentar ohne test(...)-Aufruf. Manche Teams werten das als Code-Smell — hier durch CI-Stabilität gerechtfertigt, da der gelöschte takeException-Test je nach Flutter-Version unterschiedlich dispatched.
• [info] Die Microtask-Race-Notiz in lifecycle_initializer.dart:56-60 ist kürzer und etwas vager geworden — erfüllt aber ihren Tripwire-Zweck für künftige Modifier von _onResumed.
• Keine Regressionen, keine neue Logik, keine Scope-Erweiterung.

Gesamturteil: Mergebar

Der Force-Push war minimal-invasiv und ausschließlich risikoreduzierend: entfernt einen potentiell flaky Architektur-Lock-In-Test und ersetzt ihn durch dokumentierte Designentscheidung mit Mehrfach-Verankerung (Source, Test, PR-Body). Trade-off ist vertretbar — der gelöschte Test wäre in einem zukünftigen Flutter-Upgrade ein false-positive geworden.

Restliche offene Punkte (app_store.dart:15 Setter-Doc, _unlockInFlight-Race) sind Polish/Follow-up-Material, keine Merge-Blocker.