安全與反釣魚

最後更新：2026 年 4 月

您的安全至關重要。本頁列出我們的官方網域和社群帳號，說明如何識別釣魚，以及如何回報安全問題。

官方網域

CoinKirin 僅在以下網域下運營。其它均非我方：

coinkirin.com — 主站（面向公眾使用者）。
api.coinkirin.com — 公開 REST API。
static.coinkirin.com — 透過 CDN 提供的靜態資源（圖片、CSS、JS）。
mcp.coinkirin.com — 面向 AI 代理的 MCP 伺服器。

我們絕不會要求您在其它網域登入。若瀏覽器網址列的 URL 非上述之一，請立即關閉頁面。

官方社群帳號

以下是我們唯一的官方管道。在其它平台自稱 CoinKirin 的帳號均為冒充：

Twitter / X — https://twitter.com/coinkirin
Telegram — https://t.me/coinkirin
Discord — https://discord.gg/coinkirin
GitHub — https://github.com/coinkirin

如何識別釣魚

攻擊者可能冒充 CoinKirin 員工或使用相似網域。請牢記以下原則：

我們永遠不會透過郵件索取您的助記詞、私鑰或錢包密碼。任何這樣做的人都是詐騙者。
我們永遠不會主動透過 Telegram、Discord 或 WhatsApp 私訊與您聯絡索取資金、驗證或憑證。
務必檢查網域拼寫。攻擊者常用手段包括 c0inkirin.com、coinklrin.com 或 coinkirin.co 等變體。
檢查 SSL 憑證——點擊瀏覽器網址列的鎖形圖示。憑證必須簽發給 coinkirin.com。
我方合法郵件僅從 @coinkirin.com 網域發出。點擊連結前請先將滑鼠懸停以查看實際位址。

回報安全問題

如懷疑遭遇釣魚、冒充或發現漏洞，請郵件聯絡 [email protected].

請在郵件中包含：

對問題或可疑釣魚嘗試的清晰描述。
URL、截圖、郵件標頭或重現步驟（如適用）。
您的聯絡方式（可選）以便我們跟進。

漏洞賞金

正式的漏洞賞金計劃即將推出。在此期間，我們衷心感謝遵循負責任揭露的安全研究人員——有效發現將被列入我們的安全名人堂。

我們使用的安全回應標頭

CoinKirin 的每個頁面都設定了嚴格的安全回應標頭：

HSTS — 強制 HTTPS 連線至少 180 天，涵蓋所有子網域。
Content-Security-Policy (CSP) — 帶 nonce 的嚴格 CSP——阻止注入指令碼並限制資源載入來源為我們自己的 CDN。
X-Frame-Options — 拒絕內嵌以防止點擊劫持。
X-Content-Type-Options — 阻止 MIME 類型推測。
Referrer-Policy — Strict-origin-when-cross-origin——限制向第三方洩露 Referrer。

Android APK 簽名

我們的 Android 應用程式以 APK 形式直接分發，並使用穩定金鑰簽名。安裝或升級前請務必核對簽名憑證指紋——若指紋不符，APK 即為偽造。

SHA-256 簽名憑證指紋:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

您可透過以下指令校驗指紋：apksigner verify --print-certs coinkirin-latest.apk。在已安裝應用程式中，可於設定 → 關於 → 簽名中查看裝置上的指紋。

負責任揭露政策

我們採用 90 天協調揭露視窗。對研究人員的承諾：

我們將在 5 個工作日內確認收到您的報告。
對於出於善意並遵循本政策的研究人員，我們不會採取法律行動。
公開揭露將與研究人員協調，通常在首次報告後 90 天內進行，或在修復部署後盡快進行。

官方網域

CoinKirin 僅在以下網域下運營。其它均非我方：

coinkirin.com — 主站（面向公眾使用者）。

api.coinkirin.com — 公開 REST API。

static.coinkirin.com — 透過 CDN 提供的靜態資源（圖片、CSS、JS）。

mcp.coinkirin.com — 面向 AI 代理的 MCP 伺服器。

我們絕不會要求您在其它網域登入。若瀏覽器網址列的 URL 非上述之一，請立即關閉頁面。

如何識別釣魚

攻擊者可能冒充 CoinKirin 員工或使用相似網域。請牢記以下原則：

我們永遠不會透過郵件索取您的助記詞、私鑰或錢包密碼。任何這樣做的人都是詐騙者。

我們永遠不會主動透過 Telegram、Discord 或 WhatsApp 私訊與您聯絡索取資金、驗證或憑證。

務必檢查網域拼寫。攻擊者常用手段包括 c0inkirin.com、coinklrin.com 或 coinkirin.co 等變體。

檢查 SSL 憑證——點擊瀏覽器網址列的鎖形圖示。憑證必須簽發給 coinkirin.com。

我方合法郵件僅從 @coinkirin.com 網域發出。點擊連結前請先將滑鼠懸停以查看實際位址。

我們使用的安全回應標頭

CoinKirin 的每個頁面都設定了嚴格的安全回應標頭：

HSTS — 強制 HTTPS 連線至少 180 天，涵蓋所有子網域。

Content-Security-Policy (CSP) — 帶 nonce 的嚴格 CSP——阻止注入指令碼並限制資源載入來源為我們自己的 CDN。

X-Frame-Options — 拒絕內嵌以防止點擊劫持。

X-Content-Type-Options — 阻止 MIME 類型推測。

Referrer-Policy — Strict-origin-when-cross-origin——限制向第三方洩露 Referrer。

Android APK 簽名

我們的 Android 應用程式以 APK 形式直接分發，並使用穩定金鑰簽名。安裝或升級前請務必核對簽名憑證指紋——若指紋不符，APK 即為偽造。

SHA-256 簽名憑證指紋:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

您可透過以下指令校驗指紋：apksigner verify --print-certs coinkirin-latest.apk。在已安裝應用程式中，可於設定 → 關於 → 簽名中查看裝置上的指紋。

負責任揭露政策

我們採用 90 天協調揭露視窗。對研究人員的承諾：

我們將在 5 個工作日內確認收到您的報告。

對於出於善意並遵循本政策的研究人員，我們不會採取法律行動。

公開揭露將與研究人員協調，通常在首次報告後 90 天內進行，或在修復部署後盡快進行。