安全

即便我们想,也无从盗取你的资金——架构使然。

设计上即非托管。你在 Bitfinex 创建一个禁用提现的 API 密钥——Stratum 只能读取你的余额并下达或取消融资挂单,仅此而已。

01

非托管

你的资金始终留在 Bitfinex 账户内。我们不进行任何托管,也不设托管账户。Stratum 只是一层受权限范围限制的自动化——而非钱包。

02

受限范围的 API 密钥

你在 Bitfinex 创建 API 密钥时禁用提现——Stratum 从不需要该权限。当你添加密钥时,我们会从 Bitfinex 读取其真实权限范围,若启用了提现(或交易)权限便直接拒绝,因此具备提现能力的密钥绝不会被存储或激活。

03

静态加密

API 密钥以 AES-256-GCM 进行静态加密。绝不以明文记录,绝不发送至遥测系统,并在崩溃报告中脱敏处理。

04

可复现构建

部署自固定版本、可复现的 Docker 镜像,并在 CI 中进行依赖与静态分析检查。我们已将独立第三方安全审计列入路线图。

05

双因素认证

采用带备份码的 TOTP 双因素认证。在任何 API 密钥写入操作前都必须通过。更广泛的通行密钥/硬件密钥支持已在规划中,但尚未上线。

06

负责任的漏洞披露

发现了问题?请发邮件至 [email protected]。我们会确认收到报告,迅速修复已核实的问题,并为愿意署名的研究者致谢。我们已规划设立有资金支持的漏洞赏金计划。

什么在保护你的账户
API 密钥由你本人创建,并禁用提现
Stratum 始终只使用读取 + 融资挂单权限——绝不提现
密钥静态加密(AES-256-GCM),绝不记录
任何 API 密钥写入操作前都需通过 2FA
随时可完整导出数据——你的记录随你带走
合规与路线图
数据导出
每一笔贷款、挂单与账本记录——自助导出
应用内
GDPR DPA
面向欧盟客户 · 按需提供
申请
独立安全审计
规划中——我们将在此发布结果
路线图
SOC 2
规划中——尚未启动
路线图