Diseñado para que no pudiéramos robarte aunque quisiéramos.
No custodial por diseño. Tú creas una API key de Bitfinex con los retiros deshabilitados: Stratum puede leer tus saldos y colocar o cancelar ofertas de funding, nada más.
No custodial
Tus fondos nunca salen de tu cuenta de Bitfinex. No tenemos custodia ni escrow. Stratum es una capa de automatización con permisos limitados, no un monedero.
API keys con permisos limitados
Tú creas la API key en Bitfinex con los retiros deshabilitados: Stratum nunca necesita ese permiso. Cuando agregas una key, leemos sus permisos reales desde Bitfinex y la rechazamos por completo si los retiros (o el trading) están habilitados, de modo que una key con permiso de retiro nunca se almacena ni se activa.
Cifrado en reposo
Los secretos de la API se cifran en reposo con AES-256-GCM. Nunca se registran en texto plano, nunca se envían a la telemetría y se redactan de los reportes de fallos.
Builds reproducibles
Desplegado desde imágenes de Docker fijadas y reproducibles, con comprobaciones de dependencias y análisis estático en CI. Una auditoría de seguridad independiente de terceros está en nuestra hoja de ruta.
Autenticación de dos factores
Doble factor TOTP con códigos de respaldo. Obligatorio antes de cualquier escritura de API key. Está previsto un soporte más amplio de passkeys / llaves de hardware, aún no disponible.
Divulgación responsable
¿Encontraste algo? Escribe a [email protected]. Acusamos recibo de los reportes, corregimos rápido los problemas verificados y damos crédito a los investigadores que lo deseen. Está previsto un programa de recompensas financiado.