Безопасность и антифишинг

Последнее обновление: апрель 2026

Ваша безопасность важна. Эта страница перечисляет наши официальные домены и социальные аккаунты, объясняет, как распознать фишинг, и описывает, как сообщать о проблемах безопасности.

Официальные домены

CoinKirin работает только под следующими доменами. Всё остальное — не мы:

• coinkirin.com — Основной веб-сайт (публичные пользователи).
• api.coinkirin.com — Публичный REST API.
• static.coinkirin.com — Статические ресурсы (изображения, CSS, JS), обслуживаемые через CDN.
• mcp.coinkirin.com — MCP-сервер для AI-агентов.

Мы никогда не просим вас войти через любой другой домен. Если URL в вашем браузере не один из указанных выше, немедленно закройте вкладку.

Официальные социальные аккаунты

Наши единственные официальные каналы перечислены ниже. Аккаунты, утверждающие, что они CoinKirin в других местах, являются самозванцами:

• GitHub — https://github.com/coinkirin

Как распознать фишинг

Атакующие могут выдавать себя за персонал CoinKirin или похожие домены. Помните эти правила:

• Мы НИКОГДА не отправим вам письмо с просьбой о вашей seed-фразе, приватных ключах или пароле кошелька. Любой, кто это делает, — мошенник.
• Мы НИКОГДА не будем связываться с вами первыми через DM в Telegram, Discord или WhatsApp с просьбой о средствах, подтверждении или учётных данных.
• Всегда проверяйте написание домена. Атакующие используют трюки вроде c0inkirin.com, coinklrin.com или coinkirin.co.
• Проверьте SSL-сертификат — нажмите на значок замка в браузере. Сертификат должен быть выдан для coinkirin.com.
• Легитимные письма от нас приходят с адресов @coinkirin.com. Всегда наводите курсор на ссылки перед нажатием.

Сообщение о проблемах безопасности

Если вы подозреваете фишинг, выдачу себя за другого или обнаружили уязвимость, пожалуйста, напишите на security@coinkirin.com.

Пожалуйста, включите:

• Чёткое описание проблемы или подозреваемой попытки фишинга.
• URL, скриншоты, заголовки писем или шаги воспроизведения, если применимо.
• Ваша контактная информация (опционально), чтобы мы могли связаться с вами.

Баг баунти

Официальная программа bug bounty скоро появится. Тем временем мы с благодарностью признаём исследователей безопасности, следующих ответственному раскрытию — действительные находки будут отмечены в нашем зале славы безопасности.

Используемые нами заголовки безопасности

Каждая страница CoinKirin обслуживается со строгими заголовками безопасности:

• HSTS — Принудительно использует только HTTPS-соединения в течение как минимум 180 дней, включая поддомены.
• Content-Security-Policy (CSP) — Строгая Content Security Policy с nonces — блокирует инъектированные скрипты и ограничивает источники ресурсов нашим CDN.
• X-Frame-Options — Отклоняет обрамление для предотвращения clickjacking.
• X-Content-Type-Options — Предотвращает MIME-type sniffing.
• Referrer-Policy — Strict-origin-when-cross-origin — ограничивает утечку referrer третьим сторонам.

Подпись APK Android

Наше приложение для Android распространяется напрямую в виде APK и подписано стабильным ключом. Всегда проверяйте отпечаток подписывающего сертификата перед установкой или обновлением — если отпечаток отличается, APK не подлинный.

Отпечаток подписывающего сертификата SHA-256:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

Вы можете проверить отпечаток через: apksigner verify --print-certs coinkirin-latest.apk. В установленном приложении откройте Настройки → О приложении → Подпись, чтобы просмотреть отпечаток на устройстве.

Политика ответственного раскрытия

Мы следуем скоординированному окну раскрытия в 90 дней. Наши обязательства перед исследователями:

• Мы подтверждаем получение вашего отчёта в течение 5 рабочих дней.
• Мы не будем предпринимать юридические действия против исследователей, действующих добросовестно и следующих этой политике.
• Публичное раскрытие координируется с исследователем и обычно происходит в течение 90 дней с момента первоначального отчёта или раньше после развёртывания исправления.