El 2025-03-13, SSP Wallet v1.16.0 cierra un arco largo y abre uno nuevo. La auditoría con Halborn que empezó con los contratos Solidity de Account Abstraction ahora se extiende por toda la pila — la extensión de navegador SSP Wallet, el servicio Relay, la app móvil SSP Key y las librerías de soporte. La misma versión incorpora swap dentro de la cartera, para intercambiar entre las cadenas que SSP soporta sin salir del esquema multifirma.
Halborn completa la auditoría total de SSP
La revisión previa de Halborn cubrió la capa de contratos inteligentes: la Factory y la Account Implementation tras cada cuenta de Ethereum y Sepolia. Volvió limpia en lo importante y SSP redeployó las versiones limpias en v1.9.0. Lo nuevo es que el alcance se extendió al resto.
En el alcance ahora: la extensión de navegador SSP Wallet, incluyendo la gestión de claves y la lógica multifirma que ordena cada gasto; el SSP Relay, el servicio que coordina la firma entre la extensión y el móvil; y la app SSP Key, que guarda la segunda mitad de la clave en el teléfono del usuario. Las librerías de soporte se revisaron con ellos.
El resumen: cada pieza de SSP que toca los fondos del usuario — el código que construye transacciones, el código que intercambia datos de firma entre dispositivos y el código que produce la segunda firma — ha sido auditada de forma independiente. La página de Halborn vive en halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key.
Por qué «código abierto + auditoría total + multifirma multiactivo» es raro
La mayoría de carteras eligen dos de los tres. Muchas son de código abierto pero custodiadas o de una sola firma. Muchas son multifirma pero para un único ecosistema — solo Bitcoin o solo Ethereum — y no replican el modelo entre cadenas. Algunas se auditaron en el binario, pero su infraestructura — relay, móvil, librerías — es cerrada o sin revisar.
La combinación de SSP es inusual. La cartera es de código abierto bajo licencia permisiva. El Relay es de código abierto. Las apps Android e iOS de SSP Key son de código abierto. Las librerías criptográficas subyacentes son de código abierto. La multifirma es el flujo por defecto en cada cadena soportada, no una palanca opcional. Y — ahora — cada una de esas piezas ha sido auditada por Halborn.
No afirmamos ser la única cartera del mundo con esta combinación. Sí decimos que la combinación es rara como para señalar las páginas de auditoría, los repositorios y la arquitectura y afirmar: así es una pila multifirma multiactivo totalmente abierta y totalmente auditada en la práctica. Si existe una pila comparable, nos gustaría leer también sus informes.
La función de swap está activa
La segunda historia de v1.16.0 es el swap dentro de la cartera. Desde esta versión, los usuarios pueden intercambiar entre las cadenas que SSP soporta — Bitcoin, Ethereum, Bitcoin Cash, Zcash, Flux y los tokens ERC-20 que la cartera reconoce — directamente desde la interfaz de SSP, sin exportar claves, sin copiar direcciones entre pestañas y sin entregar custodia a terceros antes del gasto.
El modelo de custodia es el mismo que rige cualquier otro gasto en SSP. Los fondos permanecen en las direcciones multifirma del usuario hasta que el swap se firma. Cuando el usuario acepta una cotización y la confirma, la transacción que financia el swap se construye en la cartera, la cofirman la extensión y el SSP Key, y solo entonces se difunde. No hay cuenta custodial intermedia que retenga el saldo «mientras el swap está pendiente». Las dos mismas claves de siempre firman el swap.
Las cotizaciones se obtienen mediante partners de enrutamiento que agregan liquidez entre cadenas. La cartera muestra la tasa, la salida esperada y la comisión antes de la firma. Si la cotización no convence, el usuario no firma — y los fondos nunca salen de la multifirma. El usuario sigue siendo quien pulsa el botón verde.
Leyendo los informes de auditoría
Si prefieres leer el trabajo en lugar de fiarte de nuestro resumen, Halborn publica los informes en su hub. La página de esta ronda está en halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key. La revisión previa de los contratos Account Abstraction — la entrega anterior de esta historia — vive en una URL distinta de la misma web y se resume en el artículo de v1.9.0.
Para las notas completas que llevan Swap e incorporan la auditoría, consulta la versión v1.16.0 en GitHub. La auditoría no es un único hito — es una postura, y el registro público en Halborn es el recibo.