A equipe de segurança da Bitfinex está melhorando continuamente nossas medidas de segurança de ponta a ponta, melhorando os processos de auditoria e reduzindo a superfície de ataque de nossa infraestrutura.
A segurança da sua conta é determinada por dois fatores:
1. Medidas de segurança da plataforma; e
2. Medidas de segurança de contas de usuários individuais.
Medidas de segurança da plataforma
A segurança da plataforma são medidas implementadas pela plataforma Bitfinex para proteger fundos e outras informações confidenciais de agentes mal-intencionados.
Cold Wallet
Uma Cold Wallet também conhecida como carteira offline, é uma carteira que não está vinculada à internet e, portanto, tem um risco muito menor de ser comprometida.
Nosso armazenamento offline detém cerca de 99,5% dos fundos do usuário numa Cold Wallet com várias assinaturas, que requer a aprovação de todas as transações por meio de múltiplos módulos de segurança de hardware (HSMs) mantidos por membros da equipe de gerenciamento que se encontram espalhados internacionalmente.
No caso improvável de um dos membros da administração ser comprometido e forçado a fazer login na plataforma, um único HSM não seria suficiente para iniciar a transferência de fundos.
Adquirir um número suficiente desses dispositivos para permitir o acesso ao armazenamento em Cold wallet é quase impossível.
Hot Wallet
Uma Hot Wallet é uma carteira de moeda virtual que pode ser acessada pela internet e facilita as transações de criptomoedas.
Nossa Hot Wallet mantém apenas os valores necessários para concluir os saques na fila, que é cerca de 0,5% do total de fundos. Para reabastecer a Hot Wallet, uma transferência da Cold Wallet para a Hot Wallet deve ser iniciada por múltiplos HSMs.
Estrutura de Dados
A Bitfinex migrou para um novo servidor de dados e nossa equipe de segurança expandida realizou uma auditoria abrangente de todo o nosso stack, incluindo uma análise profunda de todo o código-fonte e dependências.
Proteção contra DDoS
Um ataque de negação de distribuição de serviço (DDoS) é uma tentativa maliciosa de interromper o tráfego regular para um servidor, serviço ou rede alvo, inundando o alvo ou sua infraestrutura circundante com tráfego da Internet.
Na Bitfinex, a prevenção DDoS inclui o seguinte:
- Balanceamento de carga inteligente e roteamento de failover entre servidores para aumentar o desempenho;
- A detecção de tráfego malicioso em tempo real bloqueia solicitações de servidor malicioso;
- As medidas de mitigação automáticas em linha diminuem a latência e aumentam o tempo de atividade;
- Privacidade e desempenho líderes através de conexões criptografadas com HTTPS TLS 1.3.
Procedimento padrão
Os testes de penetração são realizados regularmente para garantir que nossos sistemas permaneçam seguros contra um número infinito de cenários de ataque.
- Sistemas Linux sempre atualizados para hospedar a plataforma;
- Backups de banco de dados criptografados automáticos diários para vários locais externos
- Armazenamento de senha de usuário criptografado
A equipe de segurança da Bitfinex continua a auditar a implementação do protocolo em todos os níveis da plataforma para manter um ambiente fundamentalmente hostil para uma incursão. Além disso, a equipe de segurança realiza auditorias externas de segurança de rotina.
Medidas de segurança de contas de usuários individuais.
A Bitfinex oferece um conjunto robusto de medidas de segurança definidas pelo usuário. As seguintes ações podem ser tomadas para proteger sua conta.
Observação: sua conta é tão segura quanto as proteções que você implementa.
O cumprimento de algumas dessas medidas não apenas aumenta significativamente a segurança pessoal, mas também reduz o número de confirmações necessárias para depósitos em criptomoedas e prioriza saques via processamento automático. Nós encorajamos você a rever nossas Condições Greenlane. Você pode acessar sua página de Segurança aqui.
Usar autenticação de dois fatores (2FA)
A ativação da autenticação de dois fatores (2FA) é necessária antes que você possa operar sua conta.
Você pode implementar os seguintes mecanismos do 2FA:
- Google Authenticator (em dispositivos Android e iOS)
- Chave de segurança física usando FIDO Universal 2nd Factor (U2F)
A ativação do 2FA adiciona uma camada de proteção entre um invasor e confirmações de retirada, alterações de senha, criação de chave de API e logins.
Ao criar sua conta, é obrigatório habilitar a autenticação de dois fatores (2FA). Se você pular esta etapa durante a configuração da sua conta, ainda será necessário habilitar o 2FA para acessar os recursos da sua conta Bitfinex.
Importante: o serviço SMS 2FA do Twilio, que estava disponível anteriormente, não é mais suportado na Bitfinex. Se você tiver acesso ao seu SMS 2FA, poderá desativá-lo acessando sua página de Segurança e começar a usar as outras duas formas de autenticação de dois fatores que oferecemos para a segurança de sua conta. Se você precisar redefinir seu 2FA, siga as etapas no artigo Como redefinir um 2FA na Bitfinex.
Permitir expirar sessão
Quando logado e inativo, o navegador fará ping na plataforma a cada 10 minutos para manter a sessão. Se esta opção for ativada, a sessão será encerrada após 30 minutos de inatividade e a conta do usuário será desconectada automaticamente. Isso
evita que a sessão seja invadida.
Enviar e-mail no login
Sempre que houver um login em sua conta, você receberá uma notificação por e-mail. O e-mail incluirá o endereço IP do usuário autenticado e um link para suspender sua conta se você suspeitar de comportamento nefasto.
Detectar alteração de endereço IP
Se o endereço IP usado para acessar sua conta for alterado em qualquer solicitação, todas as sessões existentes serão imediatamente invalidadas e a conta será desconectada automaticamente.
Isso evita o seqüestro da sessão.
Lista de permissões de endereços IP
Restrição de acesso à conta com base no endereço IP. Você pode colocar na lista de permissões um ou vários endereços IP, bem como um intervalo de IP. Qualquer pessoa que não tenha acesso aos endereços IP da lista de permissões terá o acesso negado à conta.
Histórico de login
Cada login na sua conta é guardado e pode ser examinado manualmente.
Para visualizar o histórico de login, vá para Gerenciar Conta > Relatório e selecione Login no menu do lado direito.
Permissões de chave de API
Por recurso, crie chaves de API com permissões avançadas de leitura/gravação.
Criptografia de e-mail com OpenPGP
Pretty Good Privacy (PGP) é um aplicativo de criptografia e descriptografia de dados que fornece privacidade criptográfica e autenticação de correspondência. Ele emprega uma variante do sistema de chave pública.
Habilitar esta opção irá criptografar todos os e-mails de administração da Bitfinex para sua conta usando sua chave pública.
Monitorar Retiradas por IP
Se uma retirada for solicitada de um novo endereço IP, os titulares de contas Greenlane receberão um e-mail solicitando que a retirada seja analisada e verificada.
Nota: O período de suspeita para alterações de IP é de 24 horas.
Se sua conta não for Greenlane, você receberá confirmações por e-mail em qualquer solicitação de retirada. Você pode saber mais sobre Greenlane aqui.
Bloqueie reitradas por 24 horas quando um novo endereço IP for usado
Quando um novo endereço IP é usado para fazer login em uma conta, todos os saques são restritos por 24 horas. Se você ativar esse recurso, você será notificado por e-mail com um link para congelar a conta para revisão de atividades.
Cheque de retirada personalizado
Por padrão, uma imagem tamper-proof será exibida ao fazer uma solicitação de retirada.
Mas ao adicionar uma mensagem personalizada, você pode aprimorar a imagem de confirmação de retirada com uma frase secreta. Quando ativado, você verá uma imagem tamper-proof que contém a frase secreta e valida as especificidades de uma retirada.
Essa camada adicional de proteção garante que suas informações de retirada não sejam comprometidas como resultado de malware ou de um ataque ´man-in-the-middle.
Bloquear/Desativar Endereços de Retirada
Crie um ou mais endereços de retirada exclusivos para cada moeda ou desative as retiradas inteiramente para uma moeda. Alterar ou desabilitar o bloqueio de endereço precisa de confirmação por e-mail e inicia uma retenção de retirada automática de cinco dias na conta.
Detecção de atividade suspeita
A detecção de atividades suspeitas é automatizada por nossa infraestrutura de segurança e revisada manualmente por nossa equipe de segurança. Esse processo envolve a participação do usuário revisando atividades como redefinições de senha, solicitações de remoção 2FA, geolocalização e especificações de hardware/software do usuário.
Nossa equipe de segurança monitora os padrões de atividade e reconhece os desvios que podem alterar significativamente o status dos saldos das contas de um usuário, como solicitações de retirada para contas inteiras, solicitações para alterar nomes de usuário, endereços de e-mail associados e endereços de retirada.
Esses métodos não pretendem impor restrições à atividade da conta; em vez disso, eles servem como salvaguardas adicionais enquanto os usuários interagem com a plataforma Bitfinex.
Importante: Você também pode conferir a Política de Segurança da Bitfinex para obter mais informações.
Se você tiver alguma dúvida sobre a segurança da sua conta, sinta-se à vontade para entrar em contato com o Suporte Bitfinex para obter assistência.