Por isso que é muito difícil manter um armazenamento seguro air-gapped, o simples fato de você inserir o pen drive, seja pra transmitir a transação ou para assinar a transação no armazenamento air-gapped já compromete todo o esquema... ou pelo menos nos deixa com uma pulga atrás da orelha.

Existem dispositivos de assinaturas que foram projetados para serem essencialmente air-gapped como a coldcard, passport e etc, esses dispositivos são para usuários avançados e também é o mais recomendado para esse propósito.

Não tô dizendo que não é impossível criar um ambiente seguro com tailsOS e Electrum/afins ou um pen-drive bootável com TailsOS seja no modo amnésia ou com armazenamento persistente habilitado, acho a ideia muito legal, mas tem que ser feito com cuidado e por quem entende. Um simples erro pode comprometer o armazenamento.