So gebaut, dass wir dich nicht bestehlen könnten, selbst wenn wir wollten.
Non-Custodial by Design. Du erstellst einen Bitfinex API-Key mit deaktivierten Auszahlungen — Stratum kann deine Guthaben lesen und Funding-Angebote platzieren oder stornieren, mehr nicht.
Non-Custodial
Deine Mittel verlassen niemals dein Bitfinex-Konto. Wir haben keine Verwahrung, kein Treuhandkonto. Stratum ist eine berechtigungsbeschränkte Automatisierungsschicht — keine Wallet.
Eingeschränkte API-Keys
Du erstellst den API-Key auf Bitfinex mit deaktivierten Auszahlungen — Stratum braucht diese Berechtigung nie. Wenn du einen Key hinzufügst, lesen wir seine echten Scopes von Bitfinex aus und lehnen ihn umgehend ab, falls Auszahlung (oder Trading) aktiviert ist, sodass ein auszahlungsfähiger Key niemals gespeichert oder aktiviert wird.
Verschlüsselt im Ruhezustand
API-Secrets werden im Ruhezustand mit AES-256-GCM verschlüsselt. Niemals im Klartext geloggt, niemals an Telemetrie gesendet, in Crash-Reports geschwärzt.
Reproduzierbare Builds
Deployment aus gepinnten, reproduzierbaren Docker-Images mit Abhängigkeits- und statischen Analyse-Checks in CI. Ein unabhängiges Sicherheitsaudit durch Dritte steht auf unserer Roadmap.
Zwei-Faktor-Authentifizierung
TOTP-Zwei-Faktor mit Backup-Codes. Vor jedem API-Key-Schreibvorgang erforderlich. Breitere Unterstützung für Passkeys / Hardware-Keys ist geplant, aber noch nicht ausgeliefert.
Responsible Disclosure
Etwas gefunden? Schreib an [email protected]. Wir bestätigen Meldungen, beheben verifizierte Probleme schnell und nennen Forscher, die das möchten. Ein finanziertes Bounty-Programm ist geplant.