보안

저희가 원하더라도 귀하의 자금을 훔칠 수 없도록 설계했습니다.

설계상 비수탁형입니다. 귀하는 출금이 비활성화된 Bitfinex API 키를 생성하며 — Stratum은 잔액을 읽고 펀딩 오퍼를 제출하거나 취소할 수 있을 뿐, 그 외에는 아무것도 할 수 없습니다.

01

비수탁형

귀하의 자금은 Bitfinex 계정을 절대 떠나지 않습니다. 저희는 수탁도 에스크로도 하지 않습니다. Stratum은 권한이 제한된 자동화 계층이며 — 지갑이 아닙니다.

02

권한 제한 API 키

귀하는 출금이 비활성화된 상태로 Bitfinex에서 API 키를 생성합니다 — Stratum은 그 권한이 전혀 필요하지 않습니다. 키를 추가하면 저희는 Bitfinex에서 실제 권한 범위를 읽어, 출금(또는 거래)이 활성화되어 있으면 즉시 거부합니다. 따라서 출금 가능한 키는 저장되거나 활성화되지 않습니다.

03

저장 시 암호화

API 시크릿은 AES-256-GCM으로 저장 시 암호화됩니다. 평문으로 로깅되지 않고, 텔레메트리로 전송되지 않으며, 크래시 리포트에서 마스킹됩니다.

04

재현 가능한 빌드

고정되고 재현 가능한 Docker 이미지에서 배포하며, CI에서 의존성 및 정적 분석 검사를 수행합니다. 독립적인 제3자 보안 감사는 로드맵에 있습니다.

05

2단계 인증

백업 코드를 포함한 TOTP 2단계 인증. 모든 API 키 쓰기 전에 필수입니다. 더 폭넓은 패스키 / 하드웨어 키 지원은 계획 중이며 아직 출시되지 않았습니다.

06

책임 있는 공개

문제를 발견하셨나요? [email protected]로 이메일을 보내주세요. 저희는 제보를 확인하고, 검증된 문제를 신속히 수정하며, 원하는 연구자에게 공로를 표기합니다. 자금이 지원되는 버그 바운티 프로그램이 계획 중입니다.

귀하의 계정을 보호하는 요소
출금이 비활성화된 상태로 귀하가 생성한 API 키
Stratum은 항상 읽기 + 펀딩 오퍼 권한만 사용합니다 — 출금은 절대 사용하지 않습니다
시크릿은 저장 시 암호화되며(AES-256-GCM) 절대 로깅되지 않습니다
모든 API 키 쓰기 전에 2FA 필수
언제든지 전체 데이터 내보내기 가능 — 귀하의 기록은 귀하와 함께 떠납니다
컴플라이언스 및 로드맵
데이터 내보내기
모든 대출, 오퍼, 원장 항목 — 셀프 서비스
앱 내
GDPR DPA
EU 고객용 · 요청 시
요청
독립 보안 감사
계획됨 — 결과를 여기에 게시할 예정입니다
로드맵
SOC 2
계획됨 — 아직 시작하지 않음
로드맵