Traducción al español 
Documento original publicado por Emurgo el 26 de Marzo de 2019
Yoroi, la billetera liviana (light wallet) de Cardano, deriva su nombre de la increíblemente ornamentada armadura antigua que llevaban los samuráis japoneses. La armadura era una combinación de hierro y cuero exquisitamente construida durante casi un año. Este artículo explora algunas de las características centradas en la seguridad, y las tecnologías centrales, detrás de la moderna armadura diseñada para su navegador web y los activos de ADA.
Hay un número de billeteras basadas en navegador para Cardano y otras criptomonedas. Algunas billeteras basadas en navegador son sitios web a los que tiene que acceder en la Internet pública, mientras que otras billeteras son realmente extensiones que puede instalar en su navegador.
EMURGO, como brazo oficial y comercial de Cardano - la primera cadena de bloques (blockchain) de tercera generación revisada por pares - decidió desarrollar una extensión basada en navegador debido a una serie de problemas de seguridad con billeteras basadas en la web. A menudo, las billeteras no oficiales basadas en la web le animarán a ejecutar una copia local de su código Javascript para crear su clave privada y contraseña; no hay garantía de que el código esté limpio y la mayoría de la gente no quiere tener que mirar cada línea de código por sí misma. En contraste, Yoroi ha sido desarrollada por las organizaciones oficiales detrás de Cardano, a saber, EMURGO e IOHK. Además, no hay garantía de que una billetera basada en un sitio web no será hackeada, o fisgoneada, por un tercero en algún momento, dado el tremendo incentivo para hacerlo.
Otra razón por la que EMURGO decidió crear una extensión de navegador se debió a los casos en los que se produjo un secuestro de DNS y se redirigió a las personas de una billetera a un sitio web diferente que les robó su dinero. Los errores tipográficos de un nombre de dominio de sitio web también pueden llevar a problemas similares. Una extensión no tiene este problema.
Del mismo modo, la gente se ha vinculado a versiones falsas de Daedalus en las que la aplicación que la gente descargaba era en realidad un virus. Yoroi no tiene este problema, ya que la tienda Chrome le asegura que descargue la aplicación correcta.
El hecho de que Yoroi se ejecute en Chrome nos permite desarrollar más rápido ya que hay APIs bien hechas en las que podemos confiar y también protege al usuario ya que la extensión se ejecuta dentro de su propia caja de arena. Chrome, en general, facilita la inspección de paquetes para que puedas comprobar que Yoroi no está enviando tu clave privada a nuestros servidores. Con las herramientas de desarrollo de Chrome puedes ver exactamente qué datos se pasan a los servidores EMURGO/IOHK.
Seleccione la pestaña Red en el menú principal de herramientas para desarrolladores y podrá ver el proceso de sondeo, por ejemplo. La billetera Yoroi enviará periódicamente la dirección de su y el valor dateFrom, que le indica al servidor de preparación que reciba todas las transacciones después de esa fecha. Actualmente, Yoroi tiene que sondear los servidores de IOHK para obtener su historial de transacciones y ejecutarlas. Puede ver todas las peticiones HTTP POST en el archivo yoroi-backend-api.js. Mientras que la billetera liviana Yoroi siempre dependerá de nuestros servidores, la transmisión de la transacción es una situación temporal y será cambiada una vez que Shelley sea liberada.
Seleccione la pestaña Red en el menú principal de herramientas para desarrolladores.
El sistema de permisos Chrome también le permite saber exactamente a qué tenemos acceso. Ahora mismo, Chrome dice que Yoroi tiene acceso a todo tu historial de navegación; tradicionalmente, esto se conoce como una extensión demasiado privilegiada, sin embargo, el código no compila, ni lee, tu historial. Este es un mensaje engañoso de Chrome y lo arreglaremos, pero el equipo de desarrollo no ha tenido tiempo todavía.
Sólo puedes tener una copia de Yoroi funcionando al mismo tiempo y la forma en que nos aseguramos de que eso sea cierto es comprobar si tienes una pestaña Yoroi diferente abierta. Y para ello, necesitamos escanear todas las pestañas abiertas en este momento. Ya que, teóricamente, puedes escanear constantemente pestañas abiertas para, con el tiempo, conocer todo el historial de navegación del usuario, Chrome muestra el mensaje del peor de los casos, que es la advertencia de que la “app puede ver todo tu historial de navegación”. Sin embargo, en realidad no hacemos eso.
Los permisos que tienen los sitios web para ver los detalles de su billetera es también un tema en el que los desarrolladores de EMURGO están pensando. Algunas billeteras, como Metamask, inyectan una instancia web3 en cada página para interactuar con los sitios web. La interactividad de la con los sitios web es importante para el uso de aplicaciones distribuidas y ayuda a impulsar la adopción de la criptomoneda subyacente. Los desarrolladores de EMURGO planean integrar un esquema URI para que Yoroi pueda tener una funcionalidad similar sin exponer las direcciones de las billeteras, o la información de las transacciones, a cada sitio que visite.
Entender los riesgos de una billetera caliente (hot wallet) significa que usted tiene que entender sus responsabilidades como usuario. Tu clave privada cifrada se almacena en el espacio de almacenamiento local de Chrome. Almacenar su clave privada cifrada localmente significa que usted es el dueño de su ADA. Sin embargo, también es importante asegurar el ordenador en el que reside su billetera.
Si usted puede dedicar una máquina entera a su Yoroi, actividades comerciales y otros fondos criptográficos, entonces eso es ideal. Si no puede hacerlo, es posible que desee utilizar una máquina virtual para la navegación web, los torrents o los medios de transmisión por secuencias, además de utilizar un programa antivirus y un bloqueador de anuncios eficaces. También es imprescindible asegurarse de que su máquina esté en una red aislada del resto de su familia u oficina. Por último, es necesario comprobar la seguridad de su router/firewall.
Su clave privada encriptada está segura con Yoroi, pero, como se ha indicado anteriormente, debe tener mucho cuidado al crear un entorno seguro en el que nadie pueda espiar la contraseña de su billetera cuando la introduzca. La contraseña de su billetera es diferente de la de 15 palabras mnemotécnicas. Su clave privada se encripta usando la mnemotécnica y la contraseña de su billetera como sal. Así que si alguien roba físicamente tu ordenador, puedes simplemente instalar Yoroi en otro ordenador y usar tu frase de mnemotécnica/recuperación de 15 palabras para acceder a tus fondos, ya que esa frase te da acceso directo a tu clave privada. El código de cifrado de contraseña Cardano-rust utiliza las funciones estándar HMAC-SHA512 junto con pbkdf2 y ChaCha20 Poly1305.
Actualmente, mientras que Yoroi soporta el formato HD Wallet, sólo permite una cuenta. Sin embargo, puede generar tantas direcciones arbitrarias como desee utilizando el botón “Generar nueva dirección”. Yoroi Mobile soporta más de una cuenta, cada una con su propia mnemotécnica y compatible con billetera Bip-44.
Yoroi soporta la importación de billeteras de papel de Daedalus, pero no la creación de billeteras de papel de forma nativa en este momento. Yoroi soporta las billeteras de hardware de Trezor y Ledger. Almacenar sus llaves fuera de línea y usar una billetera liviana cuando sea necesario para transacciones más pequeñas puede proporcionar seguridad adicional y facilidad de uso.
Ha habido un empuje significativo en la industria de criptomonedas para adoptar lenguajes seguros para el desarrollo. Rust se considera generalmente como uno de estos idiomas seguros. El paquete Cardano-rust maneja toda la criptografía de Yoroi. Este es el mismo código Rust utilizado para alimentar el nodo completo Rust que IOHK está creando.
Para conectar Yoroi a las librerías criptográficas Cardano-rust, se utiliza WASM. WASM, también conocido como WebAssembly, es un “formato de instrucción binaria para una máquina virtual basada en pilas”. Wasm está diseñado como un objetivo portátil para la compilación de lenguajes de alto nivel como C/C++/Rust, lo que permite su despliegue en la web para aplicaciones cliente y servidor". Tiene algunas características de seguridad dignas de mención.
WASM está fuertemente mecanografiado, y la memoria está limitada a un búfer de array javascript, por lo que WASM no puede acceder a la memoria fuera de límites o acceder a otra memoria Javascript. El código Cardano-rust se compila en WASM y luego se llama a través de los enlaces Javascript. En un futuro próximo, los enlaces WASM se generarán automáticamente, por lo que los desarrolladores tendrán más facilidad para explorar el código para sus propios fines.
El desarrollador líder de EMURGO, Sebastien Guillemot, dice que, “muchas cadenas de bloques están usando ahora Rust ya que permite una ejecución muy rápida, y un buen soporte, para evitar problemas de memoria en tiempo de compilación, junto con una buena interoperabilidad con WASM”. Si está interesado en hablar con otros desarrolladores de Cardano, o tiene preguntas, puede explorar la sala de chat Cardano-Rust gitter.
Esperamos que ahora tenga una mejor comprensión de las características de seguridad y los componentes que se encuentran detrás de la billetera liviana Yoroi. Los desarrolladores de EMURGO están pensando primero en la seguridad cuando se trata de Yoroi. Explore el código fuente de Yoroi en github o visite Yoroi.com e instale la extensión usted mismo hoy mismo.
Acerca de EMURGO
EMURGO impulsa la adopción de Cardano y agrega valor a los poseedores de ADA al construir, invertir y asesorar proyectos u organizaciones que adoptan el ecosistema descentralizado de la cadena de bloques de Cardano. EMURGO aprovecha su experiencia en investigación y desarrollo de cadenas de bloques, así como su red global de socios relacionados con las cadenas de bloques y la industria para apoyar emprendimientos a nivel mundial.
EMURGO es el brazo comercial y de riesgo oficial del proyecto Cardano, registrado en Tokio, Japón desde junio de 2017 y en Singapur desde mayo de 2018. EMURGO tiene una afiliación única y trabaja en estrecha colaboración con IOHK para hacer crecer el ecosistema de Cardano a nivel mundial y promover la adopción de la cadena de bloques de Cardano. Para obtener más información sobre el proyecto, visite el sitio web de EMURGO.
|| Haga clic aquí para suscribirse al boletín de noticias de EMURGO.II
Sigue a EMURGO en Social Media
・Página Oficial de inicio: emurgo.io
・Twitter (inglés): @emurgo_io
・Twitter (japonés): @Emurgo_Japón
・Youtube EMURGO
・Telegram Anuncios de EMURGO
・Facebook @emurgo.io
・Instagram @emurgo_io
・LinkedIn @emurgo_io
Acerca de la Billetera Yoroi
・Yoroi Twitter: @YoroiWallet
・Yoroi Página web: https://yoroi-wallet.com/
Acerca de Cardano
・Foro Cardano: https://forum.cardano.org/
・Cardano Telegram: https://t.me/CardanoGeneral
・Cardano Reddit: https://i.reddit.com/r/cardano