Transcripción al español de un fragmento de “Essential Cardano360 April 2023”
Del minuto 00:01:15 al 00:14:07 del video original
Publicado en el canal de Youtube de IOHK el 27 de Abril 2023
Enlace a la versión doblada al español
¡Bienvenidos a la edición de abril de Cardano360 Esencial! En el episodio de este mes, estamos encantados de compartir con ustedes las últimas actualizaciones y noticias del ecosistema Cardano.
Únete a nosotros para hablar sobre el protocolo Hydra y el progreso hacia el CIP-1694, fomentando una cultura de autogobierno y empoderamiento de la comunidad en todo el ecosistema Cardano. También hablaremos de cómo puedes contribuir y formar parte de este viaje.
Te traeremos noticias sobre Lace, la nueva plataforma de monedero ligero Web3 lanzada por Input Output Global, que promete simplificar la forma en que interactuamos con la blockchain.
Más adelante en el programa, nuestro invitado, Sebastian Guillemot, también se unirá a nosotros para hablar de su último proyecto, Paima Engine, que está listo para transformar el juego en la red Cardano.
En esta edición, también tendremos un extracto de una entrevista más larga con Frederik Gregaard, CEO de la Fundación Cardano, que compartirá actualizaciones de su reciente informe anual.
Mantente al día de las últimas noticias y actualizaciones del IOG siguiéndonos en Twitter en https://twitter.com/InputOutputHK.
Tim: A principios de este mes, el equipo de IOG lanzó Lace, la nueva plataforma de billetera liviana de la empresa en red principal. Como parte del compromiso IOG de mantener los más altos estándares y excelencia en ingeniería, Lace se sometió a un exhaustivo proceso de auditoría para garantizar que el producto cumplía las normas, la seguridad y la fiabilidad correctas. FYEO, la empresa independiente de ciberseguridad que llevó a cabo la auditoría, se puso al día con Alex Apeedoorn, jefe de servicios de billetera en IOG, para hablar de ello. Juntos profundizan un poco más en el proceso de auditoría, un componente crítico para el lanzamiento, además de destacar algunos de los trabajos de la comunidad y sus comentarios y contribuciones, que ayudaron al equipo de IOG a idear futuras funciones para la plataforma.
Rudi: Hola, soy Rudi, soy gestor de la comunidad para Lace. Estoy muy emocionado de estar aquí hoy, esta es mi primera vez en 360. Tengo a Alex del equipo Lace y tengo a Thomas de FYEO. Alex, ¿te gustaría presentarte?
Alex: Hola, soy Alex Apeldoorn, soy jefe de producto para Lace y Addrestia, hemos lanzado Lace en red principal, estamos entusiasmados con la respuesta que obtuvimos y hay muchas más cosas por venir. En esta primera versión de Lace estamos apoyando, obviamente, las transacciones, y también de múltiples transacciones por lo que es múltiples activos a múltiples cuentas, delegaciones con rica información de Stake Pool, la galería NFT, y por supuesto el CIP 30 conector dApp. Esperamos que lo estés probando ahora mismo, pero si no lo has hecho, descárgate Lace y esperamos que lo disfrutes.
Rudi: Ha sido un largo viaje para llegar a red principal, lo sé, ¿te gustaría hablar de algunos de los principales resultados?
Alex: Ha sido un largo camino, hemos hecho una tremenda cantidad de investigación, una enorme cantidad de pruebas de UI y UX con cientos de usuarios del ecosistema Cardano. Y creo que los resultados están ahí. La experiencia Lace es extremadamente fluida, es segura, es fácil y es un placer usarla. Creo que uno de los mayores comentarios que hemos recibido es, obviamente, el hecho de que la interfaz de usuario de Lace es fácil de usar, y eso es lo que estábamos buscando. Una gran parte de la investigación que hemos estado haciendo se centra obviamente en la investigación sobre el usuario, pero hay un elemento secundario allí, que es la seguridad del usuario y la seguridad de sus fondos. Así que hemos invertido mucho dinero para asegurarnos de que somos lo más seguros posible. Y al hacer eso hemos comenzado la colaboración con el equipo de FYEO con el que hemos hecho una auditoría estática y dinámica. Para la ocasión, hemos invitado a Thomas, de FYEO, para que arroje un poco más de luz sobre las pruebas y el rigor que se han aplicado en la seguridad del Lace.
Thomas: Hola, me llamo Thomas Olson. Soy el CTO de la FYEO. Estamos trabajando muy estrechamente con todo el equipo de Lace para integrar la auditoría en el proceso, porque muchos de los proyectos realizan una auditoría de seguridad muy al final y eso inherentemente retrasa todo el proyecto. No queríamos hacer esto con Lace, hemos estado trabajando durante mucho tiempo junto con el equipo para integrar más o menos y hacer nuestros hallazgos más rápido. Y lo que ha impulsado esto es que en realidad comenzó junto con el equipo de Lace para hacer un modelo común de amenaza. Hicimos algunos ejercicios comunes de modelado de amenazas para averiguar contra qué nos estamos protegiendo. ¿cuáles son los ataques probables que vamos a ver? y, obviamente, se trata de una billetera y está destinada a asegurar que tus activos digitales estén seguros. Así que sabemos que queremos proteger las claves privadas, protección contra la fuga de claves. Así que realmente, ha sido una colaboración muy estrecha. Y eso nos ha llevado a corregir los errores dentro de los ciclos de desarrollo dentro de los ciclos de sprint. Y lo que realmente creo que es genial con el proyecto Lace, donde han ido la milla extra, la mayoría de los proyectos hacen algún tipo de auditoría de código en el código criptográfico, etc. Pero Lace realizó la milla extra, también hicimos lo que se llama pruebas dinámicas, donde en realidad construís un entorno de prueba completa y ejecutarlo dentro de un navegador, detectando aplicaciones maliciosas, y en realidad construyendo todos estos casos de prueba en tiempo real, que hemos visto en contra de la red, es decir, tenemos un montón de datos para extraer acerca de cómo se atacan las billeteras. Y en realidad tenemos el tiempo y el esfuerzo para poner en práctica todas estas pruebas. Y obtuvimos algunas conclusiones sobre cómo los usuarios podrían ser engañados, de algunas maneras,eso es lo más destacado de la colaboración, es que han estado muy unidos y hemos estado entregando información continuamente a través del ciclo de desarrollo.
Alex: Sí, tienes toda la razón Thomas, desde el principio hemos incluido a tu equipo en el proceso de desarrollo, como que ha sido un tremendo ida y vuelta, un aprendizaje mútuo sobre cómo hacer la billetera lo más segura posible. La billetera liviana obviamente es importante, y está protegiendo el material criptográfico del usuario y queremos proteger eso a toda costa. ¿Sería posible que describieras un poco más detalladamente la diferencia entre una auditoría dinámica y una estética? Obviamente, ya has hablado un poco de la parte dinámica, pero quizá puedas hacer un análisis comparativo.
Thomas: Seguro. Quiero decir, no es el análisis del código o el código aunque eso es lo que básicamente todos los proyectos están atravesando. Porque eso es lo mínimo que tienes que hacer. Miras el código estáticamente, no lo ejecutas, lo haces como un ejercicio de lápiz y papel. Si este código hace eso, ¿cómo puedo probar que está protegiendo aquí? Así que en realidad estás mirando el código estáticamente, no compilas y ejecutas el código. Por eso se llama análisis estático de código. Y hay muchas herramientas de análisis de código estático, pero también depende de que dibujes manualmente gráficos sobre lo que pasaría, etcétera, y hagas una prueba manual. Pero con el código dinámico, tenés un montón de otras amenazas, sobre todo porque esto no se va a ejecutar en el nodo servidor, esto se va a ejecutar dentro del navegador Chrome de la gente, y Chrome podría salir con una nueva versión de Chrome que cambia totalmente el juego de mesa. Así que lo que hicimos con las pruebas dinámicas es realmente ejecutar el código, y luego comprobar que realmente está haciendo lo que creemos que el código está haciendo. Que no se filtre ninguna clave, porque no tenemos ningún problema en nuestro código filtrando claves. ¿Y si Chrome está filtrando claves? ¿Qué pasa si Chrome se bloquea, hará eso que mis claves de usuario final acaben en el disco en un archivo que un hacker pueda robar? Así que estamos buscando en otros escenarios que no serían errores de codificación del equipo Lace , más bien estamos volviendo a comprobar que Chrome ha hecho bien su trabajo, que Linux ha hecho su trabajo, que Microsoft ha hecho su trabajo y limpiar la memoria en la que nosotros estamos confiando para mantener a los usuarios seguros.
Alex: De hecho, realmente creo que es importante que estos elementos se estén destacando, ya sabes, en un sistema pseudo anónimo en el que tenés un montón de actores maliciosos. Algunos actores podrían colapsar intencionadamente el sistema para que los materiales clave se almacenen de manera comprometida al que puedan acceder y ver siempre, ya sabes, los materiales clave de los usuarios finales y, como resultado, el usuario perdería sus fondos. Así que con estas auditorías dinámicas, sin duda fuimos más allá. Obviamente vamos a trabajar en el futuro, porque nuestra colaboración es importante y el equipo Lace se ha beneficiado mucho de los conocimientos que han compartido con nosotros para que podamos hacer un mejor software en el futuro también. ¿Podés decirnos algo más sobre cómo crees que las auditorías de software de terceros pueden beneficiar también a otros proyectos comerciales?
Thomas: Hay que conseguir que otra persona lo pruebe, porque en realidad es muy fácil decir: “Bueno, yo pensé en eso”, pero hasta cierto punto es tu bebé. Pero sobre todo, lo que tenemos que pensar es en la billetera, para la mayoría de los usuarios de cripto, no conocen Cardano, la billetera es su cara a todo el ecosistema Cardano. Recientemente hemos visto algunos ataques de billetera en otro ecosistema, en realidad puede manchar la confianza de todo un ecosistema, si tenés errores graves en la billetera, ya que es, como has dicho, la interfaz de cara al consumidor de todo el ecosistema. Creo que especialmente en el lado de la billetera es muy importante porque una billetera está diseñada para mantener seguros los activos digitales del usuario. Y por lo tanto es super importante auditar tanto el código, y también, como ustedes han hecho, ir la milla extra y asegúrese de que no sólo tenemos código seguro, también hemos probado que, no podemos robar tus claves, incluso con un Chrome roto o un Linux roto o alguien volcando su memoria RAM en tu computadora.
Thomas: Thomas quiero darle las gracias por tu tiempo, tanto aquí en el show 360, sino también todo el tiempo que pasaste con nosotros durante el último par de meses. Esperamos poder contar contigo como parte de nuestra comunidad. Y con eso, vamos a utilizar esto como un puente para invitar a Rudi de nuevo y que hable de todo el trabajo increíble que ha estado haciendo con la comunidad en el último par de semanas y dar un poco más de información sobre los procesos que ha esbozado.
Rudi: Gracias, Alex. Ha sido un tiempo muy, muy ocupado para nosotros, pero muy, muy emocionante. Hace apenas unos meses creamos los canales Lace en el servidor técnico, de IO, en Discord. Queríamos proporcionar básicamente un pequeño puente cercano entre la comunidad y el equipo, una plataforma para relacionarse fácil y directamente con el equipo. Tras el reciente lanzamiento en la red principal, hemos visto que una avalancha de comentarios de la comunidad para todos nuestros canales. Así que la idea ahora tiene que ser, ya sabes, encontrar una manera de racionalizar la entrada para crear un bucle de retroalimentación más eficiente, tanto para vos la comunidad y, obviamente, para nuestros equipos. Con esto en mente, hemos estado experimentando con el diseño y la estructura del servidor Discord técnico de IOG. Estamos considerando algunos cambios, entre ellos la creación de una categoría tipo foro para mejorar el flujo general. Lo que esto significa es que si vos tenés una pregunta y querés encontrar la respuesta, ver si alguien ha hecho la pregunta antes, será fácil de encontrar, básicamente, y si el equipo quiere obtener un poco de retroalimentación sobre una característica específica de Lace, quiere saber lo que está pasando, pueden entrar rápidamente y encontrar información. Así que, en última instancia, si tienes algo que compartir sobre Lce, tenés una pregunta, yo soy la persona para vos, podés contactarme fácilmente en Discord, ya sea a través de canales que tenemos para Lace o por DM Rudi 9229 es mí usuario, acordate de eso. Además de eso, Lace está utilizando la última implementación del CIP 30. Así que si estás construyendo en Cardano si trabajás de cerca con una dApp, o simplemente querés ver tu dApp favorita dentro de Lace , sólo tenés que contactarnos, hacernos saber, hay más información sobre preguntas frecuentes en nuestro sitio web, pero estoy muy feliz de ayudarte con el proceso.
Alex: Muchas gracias Rudi por ponerte a disposición de nuestra comunidad y ayudarles con todas sus preguntas, opiniones y comentarios. Realmente beneficia a nuestro equipo también porque, ya sabes, por nuestra parte obtenemos la información sintetizada y significa que podemos actuar activamente sobre la retroalimentación que nos fue dada por la comunidad, así que por favor asegúrate de mantenerte en contacto. Así que con eso, yo sólo quería compartir un par de pensamientos sobre el futuro de Lace, nuestro jefe de diseño lo dijo apropiadamente cuando dijo que esta es la peor versión de Lace que vas a conseguir. Tenemos una gran cantidad de nuevas características y mejoras y cosas que queremos añadir en el próximo par de semanas y meses. Muchas de las cosas ya han sido compartidas con ustedes, multi delegación, la tienda de aplicaciones, todo está ahí fuera. Hay un montón de características que todavía tienen que ser probadas. Hay un montón de características con las que necesitamos tu ayuda con el fin de mejorar y ampliar para que sea tan útil para todo el mundo en la comunidad Cardano como sea posible. Si aún no te has descargado Lace, descárgatelo ahora y danos tu opinión. En las próximas semanas y meses mejoraremos y escucharemos y te daremos todas las características y cosas que te gustan. Si lo descargás y si encontrás con algún tipo de problema. Obviamente Rudi es tu hombre, pero si hay alguna falla o error, por favor ponete en contacto con nuestro servicio técnico, ellos le ayudarán, o unite a nuestros canales DISCORD con el fin de participar en la compensación, pero estamos muy contentos de llevarte con nosotros en nuestro viaje web tres. Gracias.
Tim: Así que gracias al equipo de Lace, Alex y Rudi para esa actualización. Y una vez más, felicitaciones a todo el equipo Lace por un lanzamiento exitoso, y gracias a todos los que han descargado y probado Lace hasta ahora. Y, por supuesto, aquellos de ustedes también en la comunidad que ayudan en el viaje para lanzar. Pete en aprendé Cardano recientemente publicó una muy buena visión general de Lace, asegurate de verlo después del show. Y por favor, sigan enviando sus comentarios y opiniones sobre Lace, ayudanos a hacerla lo mejor posible.