Comunicación con las partes interesadas
Los proyectos de Solana tienen partes interesadas inusuales: poseedores de tokens, moderadores de Discord, firmas de auditoría y proveedores de RPC, no solo ejecutivos y clientes. Una comunicación clara bajo estrés preserva la confianza cuando las transacciones fallan o ocurren incidentes.
Receta
Tarjeta de receta de referencia rápida, lista para copiar y pegar.
## Plantilla de actualización de estado
**Estado:** Investigando / Mitigando / Resuelto
**Impacto en el usuario:** Depósitos en pausa; fondos en la bóveda no afectados (a partir de las 14:02 UTC)
**Acciones tomadas:** Pausar tx `3Fm...`; ingeniería trabajando en parche
**Próxima actualización:** 30 minutos o cuando cambie el estado
**Desconocido:** Causa raíz bajo análisisCuándo usar esto:
- Actualización semanal para ejecutivos o inversores
- Comunicaciones de puente de incidentes
- Estado de remediación de hallazgos de auditoría
- Anuncio de retraso de lanzamiento
- Explicación del cambio de parámetro de tokenomics
Ejemplo de trabajo
## Correo electrónico para ejecutivos (retraso de lanzamiento)
Asunto: Préstamos en Mainnet retrasados 2 semanas - hallazgo de auditoría
**Decisión:** Mover el lanzamiento del 1 de agosto al 15 de agosto.
**Por qué:** El auditor AF-7 (reentrada de CPI) requiere cambio de código + revisión.
Los fondos de los usuarios no están en riesgo; no hemos desplegado en mainnet.
**Compensación:** Campaña de marketing en pausa; AMA comunitaria el jueves.
**Solicitud:** Aprobar presupuesto de recontratación de auditoría $X.Versión más corta para Discord de la comunidad:
Actualización: Lanzamiento en Mainnet movido a ~15 de agosto mientras arreglamos un ítem de auditoría sobre seguridad de retiros.
Devnet sin cambios. AMA Jueves 2pm UTC. Todavía no hay fondos de usuarios en mainnet.
Lo que esto demuestra:
- Detalle para ejecutivos vs brevedad para la comunidad, mismos hechos
- Sin falsa precisión sobre la causa raíz durante la investigación
- Compensaciones y solicitudes explícitas
Profundización
Matriz de partes interesadas
| Parte interesada | Le importa | Canal | Cadencia |
|---|---|---|---|
| Ejecutivo / junta | Riesgo, fechas, $ | Semanal | |
| Comunidad | Lanzamiento, utilidad del token | Discord/X | Según sea necesario |
| Auditores | Diffs, repro, alcance | Compartir seguro | Por hallazgo |
| Legal | Regulatorio, divulgación | Asesoría legal | Incidentes |
| Proveedor RPC | Tráfico, incidentes | Slack/TAM | Interrupciones |
Reglas para malas noticias
- Divulgar el impacto antes de la culpa interna
- No prometer compensación antes de la revisión de la política
- Separar "en pausa" de "explotado" hasta que se confirme
Trampas
- Jerga de ingeniería para la comunidad - "Reentrada de CPI" sin impacto claro. Solución: "Error de seguridad de retiro" + acción del usuario.
- Múltiples voces en un incidente - Plazos contradictorios. Solución: Un único comandante de incidente aprueba las publicaciones.
- Compartir en exceso la receta del exploit - Ataques imitadores. Solución: Alto nivel hasta que el parche esté activo.
- Notificación silenciosa al auditor - La firma escala a ejecutivos. Solución: Estado semanal de auditoría en un rastreador compartido.
- Hablar del precio del token por parte de ingenieros - Riesgo legal y de distracción. Solución: Redirigir a producto/comunicaciones.
Alternativas
| Alternativa | Usar cuándo | No usar cuándo |
|---|---|---|
| Post-mortem público | Normas de transparencia DeFi | Investigación activa de aplicación de la ley |
| AMA en horario de oficina | Ansiedad comunitaria alta | Primera hora de Sev-1 |
| Página de estado | Híbrido SaaS + dApp | Comunidad solo en Discord |
Preguntas frecuentes
¿Frecuencia de actualización en caso de incidente?
30 minutos o al cambio de estado hasta la mitigación; luego diario hasta RCA.
¿Quién habla con la prensa?
Solo el líder de comunicaciones designado; los ingenieros no tuitean ad hoc.
¿Telegram para poseedores de tokens?
Mismos hechos que Discord; cuidado con los estafadores que se hacen pasar por personal durante incidentes.
¿Canal seguro para auditores?
Archivo zip cifrado de repro + nombre de rama; nunca un problema público de GitHub para exploits.
¿Palabras para outage parcial?
"Retiros retrasados; saldos legibles" - experiencia de usuario específica.
¿Compartir buenas noticias?
Hash de despliegue verificable + finalización de auditoría - la credibilidad importa.
¿No estar de acuerdo con el mensaje del PM?
Escalar privadamente antes de la publicación pública; voz unificada hacia afuera.
¿Comunidad internacional?
Traducir publicaciones clave de incidentes; el post-mortem técnico en inglés es el canónico.
¿Diligencia debida de VC?
DORA, estado de auditoría, historial de incidentes - apéndice de presentación fáctica.
¿Después de resuelto?
Publicación de resuelto + enlace a post-mortem dentro de las 72 horas para Sev-1.
Relacionado
- Post-mortems sin culpa y RCA - documento post-incidente
- Respuesta a incidentes en cadena - manual interno
- Estimación y Riesgo - plazos honestos
Versiones de Stack: Esta página fue escrita para Agave 4.1.1, Solana CLI 3.0.10, Anchor 0.32.1, anchor-lang 0.32.1, Rust 1.91.1, @solana/kit 7.0.0, Surfpool 0.12.0, y LiteSVM 0.6.x.