gli indirizzi sono legati indissolubilmente al dispositivo?
No, le chiavi private sono solo delle stringhe di caratteri che possono essere copiate in più posti.
Chi conosce queste chiavi automaticamente entra in possesso dei BTC.
cioè chi ha il dispositivo (supponendo non vi siano beckup) ha i bitcoin e nessun altro vi può accedere anche dal web?
Se le chiavi sono criptate con una password e la password viene sempre digitata da un pc che non sia mai stato connesso alla rete ( cold storage ) allora puoi essere ragionevolmente sicuro che nessuno potrà mai entrare in possesso dei BTC. Se le chiavi sono in chiaro allora no... non serve neanche rubare la pendrive, basta un copia incolla di un secondo e poi trasferire subito tutto...
Per il cattivo C sarebbe quindi la stessa cosa rubare la pendrive o trasferire i bitcoin in un suo eventuale conto?
Beh... se C ruba la pendrive e riesce ad accedere alle chiavi perchè non criptate, per essere sicuro deve per forza trasferire subito tutto il più presto possibile... non potrà mai essere sicuro che non ci siano delle copie in giro...