Sicherheit & Anti-Phishing

Zuletzt aktualisiert: April 2026

Ihre Sicherheit ist wichtig. Diese Seite listet unsere offiziellen Domains und Social-Media-Kanäle auf, erklärt, wie Sie Phishing erkennen, und beschreibt, wie Sie Sicherheitsprobleme melden.

Offizielle Domains

CoinKirin betreibt ausschließlich die folgenden Domains. Alles andere sind nicht wir:

coinkirin.com — Hauptwebsite (öffentliche Nutzer).
api.coinkirin.com — Öffentliche REST-API.
static.coinkirin.com — Statische Assets (Bilder, CSS, JS), ausgeliefert über CDN.
mcp.coinkirin.com — MCP-Server für KI-Agenten.

Wir fordern Sie niemals auf, sich über eine andere Domain anzumelden. Wenn die URL in Ihrem Browser keine der obigen ist, schließen Sie den Tab sofort.

Offizielle Social-Media-Kanäle

Unsere einzigen offiziellen Kanäle sind unten aufgeführt. Konten, die anderswo vorgeben, CoinKirin zu sein, sind Fälschungen:

GitHub — https://github.com/coinkirin

Phishing erkennen

Angreifer können sich als CoinKirin-Mitarbeiter oder ähnlich aussehende Domains ausgeben. Beachten Sie folgende Regeln:

Wir werden Ihnen NIEMALS eine E-Mail senden, um nach Ihrer Seed-Phrase, Ihren Private Keys oder Ihrem Wallet-Passwort zu fragen. Wer das tut, ist ein Betrüger.
Wir werden Sie NIEMALS zuerst über Telegram-, Discord- oder WhatsApp-DMs kontaktieren, um nach Geldern, Verifizierungen oder Zugangsdaten zu fragen.
Prüfen Sie stets die Schreibweise der Domain. Angreifer nutzen Tricks wie c0inkirin.com, coinklrin.com oder coinkirin.co.
Prüfen Sie das SSL-Zertifikat — klicken Sie auf das Schloss-Symbol in Ihrem Browser. Das Zertifikat muss auf coinkirin.com ausgestellt sein.
Legitime E-Mails von uns kommen von @coinkirin.com-Adressen. Fahren Sie vor dem Klicken stets mit dem Mauszeiger über Links.

Sicherheitsprobleme melden

Wenn Sie Phishing, Identitätsmissbrauch vermuten oder eine Schwachstelle gefunden haben, schreiben Sie bitte an security@coinkirin.com.

Bitte fügen Sie bei:

Eine klare Beschreibung des Problems oder des mutmaßlichen Phishing-Versuchs.
URLs, Screenshots, E-Mail-Header oder Schritte zur Reproduktion, sofern zutreffend.
Ihre Kontaktdaten (optional), damit wir nachfassen können.

Bug Bounty

Ein formelles Bug-Bounty-Programm ist in Arbeit. In der Zwischenzeit danken wir Sicherheitsforschern, die Responsible Disclosure befolgen — gültige Funde werden in unserer Security Hall of Fame gewürdigt.

Unsere Sicherheits-Header

Jede CoinKirin-Seite wird mit strikten Sicherheits-Headern ausgeliefert:

HSTS — Erzwingt HTTPS-only-Verbindungen für mindestens 180 Tage, einschließlich Subdomains.
Content-Security-Policy (CSP) — Strikte Content Security Policy mit Nonces — blockiert eingeschleuste Skripte und beschränkt Asset-Herkunft auf unser CDN.
X-Frame-Options — Verhindert Einbettung, um Clickjacking auszuschließen.
X-Content-Type-Options — Verhindert MIME-Type-Sniffing.
Referrer-Policy — Strict-origin-when-cross-origin — begrenzt Referrer-Leaks an Dritte.

Android-APK-Signatur

Unsere Android-App wird direkt als APK verteilt und mit einem stabilen Schlüssel signiert. Überprüfen Sie vor dem Installieren oder Aktualisieren stets den Fingerabdruck des Signaturzertifikats — weicht der Fingerabdruck ab, ist das APK nicht echt.

Fingerabdruck des SHA-256-Signaturzertifikats:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

Sie können den Fingerabdruck prüfen über: apksigner verify --print-certs coinkirin-latest.apk. In der installierten App öffnen Sie Einstellungen → Über → Signatur, um den Fingerabdruck auf dem Gerät einzusehen.

Responsible-Disclosure-Richtlinie

Wir folgen einem koordinierten Offenlegungsfenster von 90 Tagen. Unsere Zusagen an Forscher:

Wir bestätigen den Eingang Ihres Berichts innerhalb von 5 Werktagen.
Wir verfolgen keine rechtlichen Schritte gegen Forscher, die in gutem Glauben handeln und diese Richtlinie befolgen.
Die öffentliche Offenlegung wird mit dem Forscher koordiniert und erfolgt in der Regel innerhalb von 90 Tagen nach dem ersten Bericht oder früher, sobald ein Fix bereitgestellt ist.