Được xây dựng để chúng tôi không thể đánh cắp của bạn dù có muốn.
Phi lưu ký theo thiết kế. Bạn tạo một khóa API Bitfinex với rút tiền bị vô hiệu hóa — Stratum có thể đọc số dư và đặt hoặc hủy các lệnh funding của bạn, không gì khác.
Phi lưu ký
Tiền của bạn không bao giờ rời khỏi tài khoản Bitfinex. Chúng tôi không giữ quyền lưu ký, không ký quỹ. Stratum là một lớp tự động hóa giới hạn quyền hạn — không phải ví.
Khóa API giới hạn phạm vi
Bạn tạo khóa API trên Bitfinex với rút tiền bị vô hiệu hóa — Stratum không bao giờ cần quyền đó. Khi bạn thêm khóa, chúng tôi đọc phạm vi thực của nó từ Bitfinex và từ chối ngay lập tức nếu rút tiền (hoặc giao dịch) được bật, nên một khóa có khả năng rút tiền không bao giờ được lưu trữ hay kích hoạt.
Mã hóa khi lưu trữ
Khóa bí mật API được mã hóa khi lưu trữ bằng AES-256-GCM. Không bao giờ ghi log dưới dạng văn bản thuần, không bao giờ gửi đến telemetry, được ẩn khỏi báo cáo sự cố.
Bản dựng tái lập được
Triển khai từ các image Docker được ghim phiên bản, tái lập được, với kiểm tra phụ thuộc và phân tích tĩnh trong CI. Một cuộc kiểm toán bảo mật độc lập từ bên thứ ba nằm trong lộ trình của chúng tôi.
Xác thực hai yếu tố
Xác thực hai yếu tố TOTP với mã dự phòng. Bắt buộc trước mọi thao tác ghi khóa API. Hỗ trợ rộng hơn cho passkey / khóa phần cứng đã được lên kế hoạch, chưa triển khai.
Tiết lộ có trách nhiệm
Phát hiện điều gì đó? Gửi email tới [email protected]. Chúng tôi xác nhận báo cáo, khắc phục nhanh các vấn đề đã được kiểm chứng, và ghi nhận công lao các nhà nghiên cứu muốn điều đó. Một chương trình bounty có ngân sách đang được lên kế hoạch.