Построено так, что мы не смогли бы украсть у вас, даже если бы захотели.
Некастодиальный по своей конструкции. Вы создаёте API-ключ Bitfinex с отключёнными выводами — Stratum может читать ваши балансы и размещать или отменять офферы фандинга, и ничего больше.
Некастодиальный
Ваши средства никогда не покидают ваш аккаунт Bitfinex. Мы не храним средства и не используем эскроу. Stratum — это слой автоматизации с ограниченными правами, а не кошелёк.
API-ключи с ограниченными правами
Вы создаёте API-ключ на Bitfinex с отключёнными выводами — Stratum никогда не требует этого права. Когда вы добавляете ключ, мы считываем его реальные права у Bitfinex и сразу отклоняем его, если включён вывод (или торговля), поэтому ключ с правом вывода никогда не сохраняется и не активируется.
Шифрование в состоянии покоя
Секреты API шифруются в состоянии покоя с помощью AES-256-GCM. Никогда не записываются в логи в открытом виде, никогда не отправляются в телеметрию, скрываются из отчётов о сбоях.
Воспроизводимые сборки
Развёртывание из закреплённых, воспроизводимых Docker-образов с проверками зависимостей и статического анализа в CI. Независимый сторонний аудит безопасности есть в нашем роадмапе.
Двухфакторная аутентификация
Двухфакторная аутентификация TOTP с резервными кодами. Требуется перед любой записью API-ключа. Более широкая поддержка passkey / аппаратных ключей запланирована, но ещё не выпущена.
Ответственное раскрытие
Что-то нашли? Напишите на [email protected]. Мы подтверждаем получение отчётов, быстро устраняем подтверждённые проблемы и упоминаем исследователей, которые этого хотят. Финансируемая программа вознаграждений запланирована.