Segurança e anti-phishing

Última atualização: abril de 2026

Sua segurança importa. Esta página lista nossos domínios e contas sociais oficiais, explica como reconhecer phishing e descreve como reportar problemas de segurança.

Domínios oficiais

A CoinKirin opera apenas sob os seguintes domínios. Qualquer outra coisa não somos nós:

• coinkirin.com — Site principal (usuários públicos).
• api.coinkirin.com — API REST pública.
• static.coinkirin.com — Ativos estáticos (imagens, CSS, JS) servidos via CDN.
• mcp.coinkirin.com — Servidor MCP para agentes de IA.

Nunca pedimos para você fazer login através de outro domínio. Se a URL no seu navegador não for uma das acima, feche a aba imediatamente.

Contas sociais oficiais

Nossos únicos canais oficiais estão listados abaixo. Contas afirmando ser CoinKirin em outros lugares são impostores:

• GitHub — https://github.com/coinkirin

Como identificar phishing

Atacantes podem se passar por funcionários da CoinKirin ou usar domínios similares. Tenha estas regras em mente:

• NUNCA enviaremos e-mail pedindo sua seed phrase, chaves privadas ou senha da carteira. Quem fizer isso é um golpista.
• NUNCA entraremos em contato primeiro via DM no Telegram, Discord ou WhatsApp pedindo fundos, verificação ou credenciais.
• Sempre verifique a grafia do domínio. Atacantes usam truques como c0inkirin.com, coinklrin.com ou coinkirin.co.
• Verifique o certificado SSL — clique no ícone de cadeado no navegador. O certificado deve ser emitido para coinkirin.com.
• E-mails legítimos nossos vêm de endereços @coinkirin.com. Sempre passe o mouse sobre links antes de clicar.

Reportar problemas de segurança

Se suspeitar de phishing, falsidade ideológica ou tiver encontrado uma vulnerabilidade, por favor envie um e-mail para security@coinkirin.com.

Por favor inclua:

• Uma descrição clara do problema ou da tentativa de phishing suspeita.
• URLs, capturas de tela, cabeçalhos de e-mail ou passos de reprodução, se aplicável.
• Suas informações de contato (opcional) para que possamos dar seguimento.

Recompensa por bugs

Um programa formal de bug bounty está a caminho. Enquanto isso, agradecemos com gratidão aos pesquisadores de segurança que seguem a divulgação responsável — descobertas válidas serão creditadas em nosso hall da fama de segurança.

Cabeçalhos de segurança que usamos

Cada página da CoinKirin é servida com cabeçalhos de segurança estritos:

• HSTS — Força conexões apenas HTTPS por pelo menos 180 dias, incluindo subdomínios.
• Content-Security-Policy (CSP) — Content Security Policy estrita com nonces — bloqueia scripts injetados e limita origens de ativos ao nosso CDN.
• X-Frame-Options — Nega enquadramento (framing) para evitar clickjacking.
• X-Content-Type-Options — Evita sniffing de tipo MIME.
• Referrer-Policy — Strict-origin-when-cross-origin — limita vazamento de referrer para terceiros.

Assinatura do APK Android

Nosso aplicativo Android é distribuído diretamente como APK e assinado com uma chave estável. Sempre verifique a impressão digital do certificado de assinatura antes de instalar ou atualizar — se a impressão digital diferir, o APK não é genuíno.

Impressão digital do certificado de assinatura SHA-256:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

Você pode verificar a impressão digital via: apksigner verify --print-certs coinkirin-latest.apk. No aplicativo instalado, abra Configurações → Sobre → Assinatura para ver a impressão digital no dispositivo.

Política de divulgação responsável

Seguimos uma janela de divulgação coordenada de 90 dias. Nossos compromissos com pesquisadores:

• Confirmamos o recebimento do seu relatório em até 5 dias úteis.
• Não tomaremos ações legais contra pesquisadores que atuem de boa-fé e sigam esta política.
• A divulgação pública é coordenada com o pesquisador e tipicamente ocorre dentro de 90 dias do relatório inicial, ou antes, assim que uma correção for implantada.