Насколько безопасен BITFINEX?

Bitfinex холодное хранилище хранит примерно 99,5% средств пользователей в автономном кошельке с мультиподписью; требуется, чтобы 4 из 7 аппаратных модулей безопасности (HSM) находились во владении глобально распределенных членов группы управления для утверждения всех транзакций. В случае, если администратор скомпрометирован и вынужден войти на платформу, одного HSM будет недостаточно для инициирования перевода средств. Задача приобрести достаточное количество этих устройств для доступа к холодному хранилищу равносильна невыполнимой.

Горячий кошелек Bitfinex поддерживает в очереди только средства, необходимые для выполнения снятия средств, примерно 0,5%. Для пополнения горячего кошелька требуется 4 из 7 HSM, чтобы инициировать перевод с холодного кошелька на горячий.

Bitfinex перешла на новый сервер данных, и расширенная группа безопасности провела комплексный аудит всего стека. , включая глубокий анализ всего исходного кода и зависимостей.

• Интеллектуальная балансировка нагрузки и маршрутизация отказоустойчивости между серверами для повышения производительности

• Обнаружение вредоносного трафика в режиме реального времени блокирует вредоносные запросы к серверу

• Автоматические встроенные меры по смягчению последствий уменьшают задержку и увеличивают время безотказной работы

• Leading privacy and performance through encrypted connections with HTTPS TLS 1.3

Обычное тестирование на проникновение выполняется Hacktive Securityдля сохранения целостности систем при бесконечных сценариях атак.

• Всегда современные системы Linux для размещения платформы

• Ежедневное автоматическое резервное копирование зашифрованных баз данных в несколько удаленных местоположений

• Зашифрованное хранилище паролей пользователей

Команда безопасности Bitfinex продолжает проверять реализацию протокола на каждом уровне платформы, чтобы поддерживать изначально враждебную среду по отношению к вторжению; дальнейшее использование рутинных внешних аудитов безопасности.

Bitfinex предоставляет широкий набор определяемых пользователеммер безопасности, и мы рекомендуем всем пользователям ознакомиться с Условиями Greenlane, которые значительно повышают личную безопасность, сокращают необходимое количество подтверждений для депозитов в криптовалюте и отдают приоритет снятию средств посредством автоматической обработки.

Мы разрабатываем реализацию U2F, чтобы пользователи могли взаимодействовать со своими торговыми балансами и балансами кошельков через свои собственные аппаратные модули безопасности. Дополнительная информация о U2F будет предоставлена ​​в следующем объявлении. В настоящее время реализованы механизмы 2FA:

• Google Authenticator
• Twilio
• Clef (Clef закрывает этот продукт в июне)

Включение 2FA создает второй уровень безопасности между злоумышленником и подтверждениями снятия средств, сменой пароля, созданием ключа API и входом в систему.

Bitfinex теперь предлагает домен tor. Включение этой опции позволяет пользователям входить в свои учетные записи через этот домен.

Когда вы вошли в систему и неактивны, браузер будет пинговать платформу каждые 10 минут, чтобы поддерживать сеанс. Если отключено, сеанс истечет через 30 минут бездействия, а учетная запись пользователя будет автоматически отключена.

Получать электронное письмо каждый раз, когда кто-то входит в вашу учетную запись. Электронное письмо будет содержать информацию об IP-адресе аутентифицированного пользователя и ссылку для блокировки вашей учетной записи, если вы подозреваете злонамеренную активность.

Если IP-адрес, используемый для доступа к учетной записи пользователя, изменится по какому-либо запросу, все открытые сеансы будут немедленно аннулированы, а учетная запись будет автоматически отключена. Это предотвращает перехват сеанса.

Ограничить доступ к учетной записи по IP-адресу. Пользователи могут указать один или несколько IP-адресов и/или указать диапазон IP-адресов. Любому, у кого нет доступа к IP-адресам из белого списка, запрещается использовать учетную запись.

Каждый вход в учетную запись пользователя сохраняется и может быть проверен лично.

Создание ключей API с расширенными разрешениями на чтение/запись на основе каждой функции.

Pretty Good Privacy (PGP) — это программа шифрования и дешифрования данных, которая обеспечивает криптографическую конфиденциальность и аутентификацию для корреспонденции. Он использует вариант системы открытого ключа.

Если запрос на снятие средств поступает с нового IP-адреса, владелец учетной записи получит электронное письмо с просьбой просмотреть и подтвердить снятие средств. Период недоверия по смене IP составляет 24 часа.

Когда для входа в учетную запись пользователя используется новый IP-адрес, все снятие средств будет заблокировано на 24 часа, и пользователь получит уведомление по электронной почте со ссылкой для блокировки учетной записи для проверки активности.

Добавить секретную фразу к изображению подтверждения вывода средств. Когда эта функция включена, пользователи увидят защищенное от несанкционированного доступа изображение, которое подтверждает детали вывода средств и включает секретную фразу. Эта дополнительная избыточность гарантирует, что ваши данные для вывода средств не были скомпрометированы вредоносным ПО или атакой «человек посередине».

Установите конкретный адрес вывода для каждой валюты или полностью отключите вывод средств для валюты. Изменение или отключение блокировки адреса требует подтверждения по электронной почте и запускает автоматическое 5-дневное удержание вывода средств на счете.