Semana 9 Mes 2 Año 2023
CASA ❤️ Ethereum, varios robos, ¿Es Air Gap sinónimo de seguridad?, Joan ❤️ Álvaro, les roban por tontos, y te mando deberes (comprueba tu Metamask).
Crypto 101 es un espacio dedicado a la educación y formación en criptomonedas y su tecnología. Dejando de lado los precios nos centramos en como funcionan las cosas, curiosidades del sistema, noticias interesantes y sobre todo en aspectos de seguridad.
Aspectos como adopción, regulación, fiscalidad, tecnología, robos, errores, y de nuevo seguridad son recopilados aquí y remitidos por correo todos los lunes a las 09:05 AM GMT +2
Esta es una newsletter gratuita y son muy agradecidos los ❤️ y muy contestados los comentarios .
Y como Keystone está de 5º Aniversario nos está ofreciendo un 30% de descuento. Pásate a ver que nos ofrece.
Y como Keystone está de 5º Aniversario nos está ofreciendo un 30% de descuento. Pásate a ver que nos ofrece. Pero si no lo quieres comprar sino ganar…SORTEAMOS UNO! 🥳🥳🥳🥳
CASA da soporte para Ethereum
CASA es una empresa que añade una capa de seguridad a tu wallet, incluyendo ciertas medidas de seguridad. Más de una vez he dicho que hay gente que no quiere ser el “single point of failure” de su esquema de seguridad. También hay casos dónde los activos digitales no pueden estar bajo el mando de una sola persona y quizás montar un multisig (esquema de firmas multiples) no es viable. Por ejemplo piensa en una empresa.
Aquí es dónde entra CASA. Nos encontramos ante una empresa que ofrece diferentes planes de seguridad, con su propia wallet y apoyándote en tu propia Hardware Wallet puedes tener un extra de seguridad. Como curiosidad te diré que su plan Diamond cuesta $5.000 al año e incluye un Keystone Pro.
Pues bien, todo eso para decirte que por fin, CASA soporta Ethereum. Y como Ethereum no tiene por defecto un sistema multisig han hecho un post explicando qué cambia, y como lo han planteado. Más info en el enlace anterior.
Diversos robos ocurridos las ultimas semanas
Josh Chavez, artista gráfico. Le contactan por Instagram para proponerle usar alguna de sus imágenes para la portada de un disco. Le mandan la info por correo electrónico. La descarga. Dentro de esos archivos se encuentra un .exe y unos segundos después todos los NFTs son listados en OpenSea, vendidos y transferidos todos sus fondos. No usaba Hardware Wallet. La moraleja es “Usa un Hardware Wallet” y “Ten cuidado con lo que descargas”.
Kevin Rose, creador de la colección Moonbirds (entre otros). Firma una transacción que no debe usando su wallet y da permisos excesivos sobre los activos contenidos. Esto lo podría haber evitado usando PocketUniverse o Stelo. Ha perdido cerca de 1 millón de dólares.
Usuario MERLINPESCA de forobits. Diversas incongruencias en su discurso no nos permite saber a que se debe el robo. Enlace al hilo ya que aunque no se tenga claro que ha pasado las respuestas al hilo nos dan indicios de lo que se puede considerar correcto o no. El robo estaría en manos de las autoridades y la suma se presupone elevada. Te animo a revisar el hilo.
Joan Tubau se junta con Álvaro D. María
es el (o la) newsletter de Joan Tubau, y es una publicación de un contenido espectacular, te la recomiendo. Tiene artículos muy interesantes como el de Dacia Sandero, o La gente feliz no consume (por decir un par que te van a enganchar). Todas las semanas se pega un buen rato charlando con diversas personas de alta relevancia (para mi, y para él) y este contenido es publicado en forma de podcast (audio) aunque recibirás la notificación por mail de substack. Son charlas muy instructivas.
Álvaro D. María es el autor de La Filosofía de Bitcoin y actualmente está en marcha la publicación de su segundo libro, Micrópolis: Más allá del Leviatán:
Pues bien, se han juntado para hablar de cosas como la Servidumbre voluntaria, control social, la incensurabilidad del bitcoin, historia del bitcoin, y muchas cosas más.
Muy recomendable. Pásate por
y suscríbete o ve directamente al podcast.¿Son los Hardware Wallets Airgap, más seguros?
Un Hardware Wallet Airgap aquel que no tiene conexión física con el dispositivo que transfiere la transacción firmada:
Cuando usamos un Ledger, dicho Ledger está conectado a un ordenador, siempre.
En el caso de otros, se funciona por códigos QR o incluso NFC. El caso más extremo sería el de Keystone que para evitar que puedas conectarlo al PC a cargar y lo uses, el puerto de carga está en la parte interna de la batería. Es imposible usar un Keystone conectado a un ordenador. Por concepto de construcción. Otros dispositivos como Safepal y Ellipal si podrías. Es solo un apunte. El objetivo es que el dispositivo no se pueda conectar a internet.
Bitbox02 no es Airgap. Para usarlo lo tienes que conectar a un ordenador y recientemente ha publicado un artículo dónde cuestiona si un dispositivo Airgap es más seguro que otro que no. Y joder ya sin leerlo te digo que no. Y lo que dice es:
Que no haya conexión no quiere decir que no haya comunicación. Cosa que es cierta, solo que mediante Airgap la información que puede traspasarse es mucho menor. Siempre existe la posibilidad de que el QR transporte información que no debe, por eso tanto Ellipal tiene algo llamado Qr Open Format para verificar esa información. ¿Quién verifica eso? Pues nadie.
La información puede estar comprometida. Pues si claro. Los QR pueden tener información que no es correcta, o generarse de forma errónea incluso por defecto en la programación del generador.
Que Airgap no es más transparente. Bueno, cierto es pero la información por cable tampoco lo es mucho más.
Otras cosas varias, que ni fu, ni fa.
Acaba el artículo mostrando un listado de varias vulnerabilidades de las que un dispositivo Airgap no te habría salvado. Y cierto es.
Así que como resumen te diré, ningún dispositivo es más seguro por ser Airgap o no, ya que está sujeto a otros vectores de ataque. Hay que ser conscientes de las limitaciones de cada uno y no pensar que no hay fallo posible. Todos los dispositivos tienen limitaciones y un Keystone no es más seguro que un Bitbox02.
El artículo, muy extenso, entra en muchos detalles rompiendo una lanza para todos aquellos diseños, cada vez menos que aún mantienen la figura del cable. Pero últimamente casi todos los nuevos lanzamientos (por ejemplo del 1inch y Hito.xyz) son sin cable). Un punto de vista diferente.
Generando SEEDs Online: BAD IDEA.
La historia es la siguiente. Alguien que se creía muy listo crea una web con la cual se generan seeds/semillas. En vez de comprar un Hardware Wallet o generar la seed ellos mismos ciertos usuarios acuden a esa web, inocentes ellos, y generan allí la seed.
Bien.
El caso es que lejos de encontrarnos ante una web legítima, nos encontramos con que la web no generaba las wallets de forma aleatoria, sino que se generaba con una función predefinida que el propietario de la página conocía. Si quieres saber más sobre esto, aquí tienes la web.
La historia acaba con el artifice de tal scam arrestado tras robar unos 10 millones de dólares en IOTA.
Y la moraleja es: No te fies de nadie. Procura usar un Hardware Wallet o un Ellipal Joy, o genera tu mismo tu seed…
Los deberes de la semana: Comprueba tu Metamask
Metamask es una Software Wallet que tiene dos versiones, la más usada, una extensión de navegador y otra menos común, una app en el móvil.
Para generar una wallet y poder recibir activos puedes instalar Metamask y en unos pocos pasos tendrás una wallet de Ethereum y posteriormente podrás añadir las redes de Polygon y BSC (ambas redes son compatibles con Metamask).
Adicionalmente a lo anterior, que seguro que lo has hecho, Metamask tiene la opción de ser usado con un Hardware Wallet. Es decir realizarás toda la operativa con Metamask, pero la transacción solo se procesará si interactúas físicamente con tu Hardware Wallet.
Ahora bien, me he encontrado ya dos casos de personas que realizan todo correctamente, pero luego descuidan un paso y es verificar que su Hardware Wallet está correctamente conectado a Metamask. Estas personas incluso no caían que ejecutaban transacciones sin tocar el Hardware Wallet, solo estaba conectado al ordenador por cable. Tal cual. ¿Cómo comprobarlo?
Abre Metamask.
Pulsa los tres puntos verticales en la esquina superior derecha.
Haz click en “Account Details” o “Detalles de la cuenta”.
Verás que se te muestra un QR y abajo dos botones, uno de los cuales te dirá “Export Private Key” o “Exportar Clave Privada”
Esta cuenta es una Wallet de Metamask y te permite exportar la clave privada por estar alojado en Metamask, y protegida por el password de acceso a Metamask:
Si tienes un Hardware Wallet conectado puedes hacer la prueba e ir de nuevo a estos pasos:
Abre Metamask.
Pulsa los tres puntos verticales en la esquina superior derecha.
Haz click en “Account Details” o “Detalles de la cuenta”.
Verás que se te muestra un QR y abajo un botón, que no dirá nunca “Export Private Key” o “Exportar Clave Privada”, sino:
Así que procura tener claro como funciona Metamask y si estás usandolo correctamente en conjunto con tu Hardware Wallet.
Sobre Metamask Mobile, la versión para iOS y Android, por defecto es una wallet de software, es decir no soporta usar tu móvil+metamask+hardware wallet. A no ser que tengas un Keystone, que es el primer (y único) Hardware Wallet que permite integrarse con Metamask Mobile. Noticia aquí.
Y con estos deberes le decimos adios a esta publicación. La semana que viene más, y probablemente más deberes. Vamos a hacer más cosas prácticas.
¿Dudas? En comentarios.