Conçu pour ne jamais pouvoir te voler, même si on le voulait.
Non-custodial par conception. Tu crées une clé API Bitfinex avec les retraits désactivés — Stratum peut lire tes soldes et placer ou annuler des offres de funding, rien d'autre.
Non-custodial
Tes fonds ne quittent jamais ton compte Bitfinex. Nous ne détenons aucune custody, aucun escrow. Stratum est une couche d'automatisation à permissions restreintes — pas un portefeuille.
Clés API restreintes
Tu crées la clé API sur Bitfinex avec les retraits désactivés — Stratum n'a jamais besoin de cette permission. Quand tu ajoutes une clé, nous lisons ses véritables permissions auprès de Bitfinex et la rejetons d'emblée si le retrait (ou le trading) est activé, de sorte qu'une clé capable de retirer n'est jamais stockée ni activée.
Chiffré au repos
Les secrets API sont chiffrés au repos avec AES-256-GCM. Jamais journalisés en clair, jamais envoyés à la télémétrie, masqués dans les rapports de crash.
Builds reproductibles
Déployé depuis des images Docker épinglées et reproductibles, avec des vérifications de dépendances et d'analyse statique en CI. Un audit de sécurité indépendant par un tiers est sur notre feuille de route.
Authentification à deux facteurs
Double authentification TOTP avec codes de secours. Requise avant toute écriture de clé API. Une prise en charge plus large des passkeys / clés matérielles est prévue, mais pas encore livrée.
Divulgation responsable
Tu as trouvé quelque chose ? Écris à [email protected]. Nous accusons réception des signalements, corrigeons rapidement les problèmes vérifiés et créditons les chercheurs qui le souhaitent. Un programme de bug bounty financé est prévu.