安全性

即使我們想偷,也偷不走你的資產——這是我們的設計初衷。

設計上即為非託管。你在 Bitfinex 建立一把停用提款的 API 金鑰——Stratum 只能讀取你的餘額並下單或取消融資掛單,僅此而已。

01

非託管

你的資金絕不會離開你的 Bitfinex 帳戶。我們不持有任何託管、不設任何託管帳戶。Stratum 是一個權限受限的自動化層——而非錢包。

02

受限範圍的 API 金鑰

你在 Bitfinex 建立 API 金鑰時即停用提款——Stratum 從不需要該權限。當你新增金鑰時,我們會從 Bitfinex 讀取其真實權限範圍,若啟用了提款(或交易)權限則直接拒絕,因此具提款能力的金鑰絕不會被儲存或啟用。

03

靜態加密

API 密鑰以 AES-256-GCM 進行靜態加密。絕不以明文記錄、絕不傳送至遙測,並從當機報告中遮蔽。

04

可重現的建置

從固定版本、可重現的 Docker 映像檔部署,並在 CI 中進行相依套件與靜態分析檢查。獨立第三方安全稽核已列入我們的路線圖。

05

雙重驗證

TOTP 雙重驗證並附備援碼。任何 API 金鑰寫入操作前皆為必要。更廣泛的 Passkey/硬體金鑰支援已在規劃中,尚未推出。

06

負責任的漏洞揭露

發現問題了嗎?請來信 [email protected]。我們會回覆通報、迅速修復已確認的問題,並在研究人員願意時給予署名。已規劃提供獎金的漏洞回報計畫。

哪些機制保護你的帳戶
由你建立、並停用提款的 API 金鑰
Stratum 永遠只使用讀取+融資掛單權限——絕不提款
密鑰靜態加密(AES-256-GCM),絕不記錄
任何 API 金鑰寫入操作前皆需 2FA
隨時可完整匯出資料——你的紀錄隨你帶走
合規與路線圖
資料匯出
每一筆貸款、掛單與帳本紀錄——自助完成
應用程式內
GDPR DPA
供歐盟客戶使用 · 依需求提供
索取
獨立安全稽核
規劃中——我們將在此處公布結果
路線圖
SOC 2
規劃中——尚未開始
路線圖