Crypto 101

Share this post

Crypto 101
Crypto 101
Especial Coldcard MK4
Copy link
Facebook
Email
Notes
More

Especial Coldcard MK4

Te aviso: No es para ti.

Jul 30, 2023
12

Share this post

Crypto 101
Crypto 101
Especial Coldcard MK4
Copy link
Facebook
Email
Notes
More
1
Share
COLDCARD on Twitter: "Multi-color-multi-sig https://t.co/JIZ4dkKT77" / Twitter

Esta es de lejos la wallet más complicada que vas a ver. La mayoría de las wallets sacrifican algo de seguridad en pos de la usabilidad. No ocurre así con los productos desarrollados por Coinkite, la compañia Canadiense que desarrolla la linea de Hardware Wallets conocida como Coldcard.

En este caso tenemos en nuestras manos la nueva y última Coldcard Mk4. Y como curiosidad, ha sido donada por un seguidor de Crypto 101 que la compró, no consiguió hacerse con ella y decidió ir a por un Bitbox02.

Así que nos la ha cedido y vamos a ver que tiene dentro. Empezamos.

El dispositivo:

Al ser un dispositivo cedido por un usuario nos hemos perdido la experiencia del unboxing. Sin embargo, gracias a videos que hemos visto sabemos que la empresa pone medidas para prevenir ataques de Supply Chain como es enviar el dispositivo en una bolsa sellada y numerada, numero que coincide con el que verás una vez iniciada la Coldcard.

Se trata de un dispositivo de un tamaño reducido, más de lo que yo pensaba:

  • 88x52x10mm con el plastico protector puesto.

  • Peso de aproximadamente 30gr.

  • Conector USB-C y NFC.

Para operar con ella contamos con doce botones, los cuales nos servirán para interactuar con la Coldcard Mk4, introduciendo datos, movernos entre los menús y confirmar o cancelar operaciones.

Nadie te diría que es complicada. Así de primeras podrías pensar, “Una calculadora nada más”. Está fabricado en en plástico transparente y tienes acceso visual a todos los componentes de la misma. Y aquí ya hay cosas curiosas que llaman la atención:

En la parte frontal de la Coldcard Mk4 puede leerse: “SHOOT THESE”. Aunque no se ve muy bien, hay dos flechas señalando dos chips el SE1 ATECC608B y el SE2 Maxim’s DS28C36B. Si quisiéramos destruir la Coldcard y tener la certeza de que nadie accede a nuestros fondos solo habría que destruir esos chips.

¿Ves esa luz verde arriba? Es otra medida de seguridad:

La luz verde en el dispositivo indica que el contenido de la memoria flash no ha cambiado desde la última vez que iniciaste sesión con el PIN correcto.

En la parte trasera, junto al puerto de la tarjeta microsd vemos que pone NFC. Esta opción está deshabilitada por defecto y puede ser usada si la activamos, para firmar transacciones y compartir direcciones, entre otras cosas. Como el uso de NFC podría llegar a ser considerado inseguro, tenemos la opción de deshabilitar de forma permanente esta opción haciendo un corte sobre esa línea que ves arriba.

Nada más que añadir sobre la parte externa del dispositivo. Te diría que no es ni atractivo a la vista.

Funcionamiento:

No lo he dicho aún, pero lo digo ahora. Esta Hardware Wallet es la única que solo permite su uso con la red Bitcoin. Ni siquiera podrás trabajar con ella con Ethereum. Es Bitcoin Only.

  • PIN:

En cualquier otra wallet tiene un PIN, compuesto de 4 o 6 números. Aquí no. Aquí tenemos PIN de 4 dígitos, el cual consta de un prefijo, y un sufijo. Y entre uno y otro se nos mostrarán siempre unas palabras (las mismas) que nos indicarán que el dispositivo permanece inalterado. El PIN puede llega a ser de 12 dígitos en total.

Como cualquier otro Hardware Wallet el PIN no puede ser reseteado. Además si te equivocas 13 veces en introducir el PIN, la Coldcard Mk4 se vuelve inservible. No podrás recuperarla.

Otra curiosidad es que las palabras que te salen tras el prefijo son aleatorias, mismo prefijo no devuelve las mismas palabras.

Y otra curiosidad es que hay “varios” tipos de PIN:

  • Duress PIN: Un PIN falso que te genera otra wallet totalmente diferente para engañar a un posible atacante que nos haya coaccionado para introducirlo.

  • Countdown to Brick PIN: que introduce un retraso de tiempo que nos impide hacer login en la Coldcard. Además simula que el dispositivo se bloquea.

  • BIP39 Passphrase : Tal cual lo imaginas.

  • Brick Me PIN: Lo introduces y se destruye la Coldcard. Sin bromas.

  • Login Countdown: Introduces este PIN y la proxima vez que accedeas tienes que esperar un periodo de tiempo de minutos, horas, días antes de poder acceder correctamente a la Coldcard.

Exploding Face Kid Meme Generator - Imgflip

  • Creación de la seed:

En cualquier otra wallet podemos crear una Seed y solo en Keystone tenemos alguna opción más. Aquí tenemos las opciones normales y las de “Dice Roll” dónde tendremos que ir pulsando teclas al azar simulando tiradas de dados o si no queremos hacer simulaciones pues compramos los dados que nos vende Coinkite.

El uso de dado será lo que nos permitirá generar entropía o aleatoriedad en la generación de la semilla. Una vez se nos de la semilla nos pedirá que la confirmemos y nos dará los típicos consejos de seguridad.

Se nos pide si queremos habilitar el NFC, y si queremos deshabilitar o no el modo USB para usar la Coldcard en modo completamente offline, esto es sin conectar a Internet.

Y ya estamos listos. Podemos empezar a trabajar.

Coldcard no tiene aplicación nativa

Tienes que usar una software wallet. Como una de las siguientes con las que Coldcard es 100% compatible. En mi caso yo voy a usar Electrum, aunque tienes muchas opciones disponibles.

A partir de aquí todo funciona más o menos normal, siempre pivotando sobre la software wallet que hayamos elegido y las funciones que nos permita.

Ejecutarás la operación en ese software y firmarás interactuando fisicamente con la Coldcard Mk4. Como hay multiples opciones vamos a estudiar la Coldcard y las cosas extras que nos ofrece.

Para ello tendremos que “exportar” las claves públicas, es decir no las direcciones sino lo que permitirá a la cartera de software derivar las direcciones públicas. Y las claves públicas se generan a gracias a las claves privadas. Te hago un símil:

  • Clave privada: Imagina que tu clave privada es la combinación que abre tu taquilla en el gimnasio. Es algo que solo tú deberías conocer, porque si alguien más la sabe, podría abrir tu taquilla y acceder a tus cosas. Es algo que debes mantener en secreto.

  • Clave pública: Tu clave pública es como el número de identificación de tu taquilla. Podrías compartirlo con tus amigos para que puedan identificar cuál es tu taquilla y dejar cosas en ella, como una botella de agua o una toalla limpia. Pero aunque conozcan este número, no podrán abrir tu taquilla porque no tienen la combinación.

  • Dirección: La dirección en criptomonedas es una versión (codificada) de la clave pública. Siguiendo el ejemplo, podríamos decir que la dirección es como un sistema de coordenadas o un plano detallado que indica dónde está tu taquilla en el gimnasio. Puedes compartir esta dirección con tus amigos para que puedan encontrar tu taquilla.

Para compartir esa clave pública por ejemplo podremos usar el NFC, por ejemplo con la software wallet Nunchuk.io, que seguro que no sabías que es la primera software wallet que que puedes usar gratis o pagar una cuota entre 120$ y 450$ al año, para acceder a todas sus características.

El NFC también puede ser usado para autorizar transacciones, de la misma forma que acercamos una tarjeta de crédito a un TPV, pero a la App de tu móvil.

Una vez que tenemos las claves públicas, ergo las direcciones (todas las direcciones que se pueden generar con estas claves públicas) ya empezaríamos a interactuar con la wallet que nos servirá de interface para la Coldcard.

Aquí hay dos opciones, pero antes vamos a confrontar esta situación con una wallet con un QR:

  • En una wallet con QR la App, por ejemplo de Keystone, genera una transacción para firmar y la codifica en formato QR. Ese QR es leído por el Keystone, que lo firma, lo devuelve a la App que es quien inserta la transacción firmada.

Pero aquí no hay QR. ¿Cómo se hace? Pues tenemos dos opciones:

  • Generamos un archivo de texto, json que debemos importar a la Coldcard que lo haremos bien poniéndola en modo usb o bien usando una tarjeta microsd.

  • Y una vez firmada la transacción debemos llevarla de nuevo a la software wallet y emitirla a internet.

  • O si la aplicación que usamos lo permite, y queremos usarla, via NFC.

Y lo malo o bueno de la Coldcard Mk4 es que al no tener una aplicación nativa, que puede gustarte más o menos tiene unas variedad enorme de opciones para usar la que más te guste. Por ejemplo me gusta mucho la App de Safepal, pero como dispositivo me gusta más el OneKey. Sin embargo la App de Onekey es menos intuitiva. ¿Qué opciones tengo? Ninguna.

En Coldcard hay mucha variedad. Y eso es bueno.

Multisig:

Esta es una wallet dónde el multisig está bastante trabajado. Yo no he probado a hacerlo pero es de lejos la wallet sobre la que más tutoriales de como montar un multisig he visto.

Grosso modo un multisig vine a ser un sistema en el que para gastar los fondos debemos firmar una operación varias veces. Por ejemplo podríamos montar un multisig de 3/5, donde existan cinco firmantes posibles, y solo con dos de ellos ya tendríamos la firma hecha.

Si tu planteamiento es montar un multisig la Cordcard Mk4 debería ser un firmante.

En Resumen:

La Coldcard Mk4 es un dispositivo muy potente, pero limitado a su vez por la seguridad. Al buscar la máxima seguridad han olvidado la usabilidad, siento todo un poco más complicado que una wallet normal.

No es bonita. No busca la adopción. Pulsar los botones puede llegar a ser difícil si tienes los dedos demasiado gruesos ya que el botón está hundido.

El objetivo de esta wallet es la máxima seguridad y probablemente lo esté consiguiendo. Su público objetivo es 100% bitcoin y a tal efecto tiene características y casos de uso que no se usan diariamente.

Si que es cierto que no tener un app nativa exime al equipo de desarrollo de la Coldcard de mucha responsabilidad. Tan solo deben preocuparse de que su hardware wallet sea capaz de firmar la transacción generada por la software wallet. Y cualquier mejora que se implementara en una software compatible, Coinkite, la compañía que desarrolla la Coldcard, la adaptará, al igual que cualquier tipo de implementación (BIP) en bitcoin.

¿Quieres comprar una Coldcard?

Piensatelo bien. Si eres 100% bitcoin puedes ir a una versión only-bitcoin en Bitbox02 o Keystone. No serán peores, ni mejores, solamente puede que su uso sea más sencillo.

Pero la Coldcard es otra cosa totalmente distinto. Es un dispositivo de culto, con más ideología y pasión. Es un concepto. Only bitcoin. Solo un verdadero bitcoiner que ama el protocolo tiene una Coldcard.

La Colcard Mk4 la puedes conseguir en estos colores y su precio ronda los 148$, más envío. No considero que sea un precio caro para un producto que lleva por detrás mucho desarrollo.

En la tienda de Coinkite vas a poder encontrar cosas curiosas, como es un cable con punta magnética, para hacer más fácil la conexión, o una forma de alimentar la Coldcard con una pila de 9V y evitar así alimentar el dispositivo conectándolo a un ordenador.

Hasta aquí la review de la Coldcard.

Leave a comment

12

Share this post

Crypto 101
Crypto 101
Especial Coldcard MK4
Copy link
Facebook
Email
Notes
More
1
Share

Discussion about this post

Esau
August 20, 2023

Soy al único que le flipa su diseño??? Y que decir de que sea Bitcoin only :)

Expand full comment
Reply
Share

No posts

Ready for more?

© 2024 Jay
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture

Share

Copy link
Facebook
Email
Notes
More