安全与反钓鱼

最后更新：2026 年 4 月

您的安全至关重要。本页列出我们的官方域名和社交账号，说明如何识别钓鱼，以及如何报告安全问题。

官方域名

CoinKirin 仅在以下域名下运营。其它均非我方：

coinkirin.com — 主站（面向公众用户）。
api.coinkirin.com — 公开 REST API。
static.coinkirin.com — 通过 CDN 提供的静态资源（图片、CSS、JS）。
mcp.coinkirin.com — 面向 AI 代理的 MCP 服务器。

我们绝不会要求您在其它域名登录。如果浏览器地址栏的 URL 不是上述之一，请立即关闭页面。

官方社交账号

以下是我们唯一的官方渠道。在其它平台自称 CoinKirin 的账号均为冒充：

Twitter / X — https://twitter.com/coinkirin
Telegram — https://t.me/coinkirin
Discord — https://discord.gg/coinkirin
GitHub — https://github.com/coinkirin

如何识别钓鱼

攻击者可能冒充 CoinKirin 员工或使用相似域名。请牢记以下原则：

我们永远不会通过邮件索要您的助记词、私钥或钱包密码。任何这样做的人都是骗子。
我们永远不会主动通过 Telegram、Discord 或 WhatsApp 私信与您联系索要资金、验证或凭据。
务必检查域名拼写。攻击者常用手段包括 c0inkirin.com、coinklrin.com 或 coinkirin.co 等变体。
检查 SSL 证书——点击浏览器地址栏的锁形图标。证书必须颁发给 coinkirin.com。
我方合法邮件仅从 @coinkirin.com 域名发出。点击链接前请先将鼠标悬停以查看实际地址。

报告安全问题

如怀疑遭遇钓鱼、冒充或发现漏洞，请邮件联系 [email protected].

请在邮件中包含：

对问题或可疑钓鱼尝试的清晰描述。
URL、截图、邮件头或复现步骤（如适用）。
您的联系方式（可选）以便我们跟进。

漏洞赏金

正式的漏洞赏金计划即将推出。在此期间，我们衷心感谢遵循负责任披露的安全研究人员——有效发现将被列入我们的安全名人堂。

我们使用的安全响应头

CoinKirin 的每个页面都配置了严格的安全响应头：

HSTS — 强制 HTTPS 连接至少 180 天，覆盖所有子域名。
Content-Security-Policy (CSP) — 带 nonce 的严格 CSP——阻止注入脚本并限制资源加载源为我们自己的 CDN。
X-Frame-Options — 拒绝嵌入以防止点击劫持。
X-Content-Type-Options — 阻止 MIME 类型嗅探。
Referrer-Policy — Strict-origin-when-cross-origin——限制向第三方泄露 Referrer。

Android APK 签名

我们的 Android 应用以 APK 形式直接分发，并使用稳定密钥签名。安装或升级前请务必核对签名证书指纹——若指纹不符，APK 即为伪造。

SHA-256 签名证书指纹:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

您可通过以下命令校验指纹：apksigner verify --print-certs coinkirin-latest.apk。在已安装应用中，可在设置 → 关于 → 签名中查看设备上的指纹。

负责任披露政策

我们采用 90 天协调披露窗口。对研究人员的承诺：

我们将在 5 个工作日内确认收到您的报告。
对于出于善意并遵循本政策的研究人员，我们不会采取法律行动。
公开披露将与研究人员协调，通常在首次报告后 90 天内进行，或在修复部署后尽快进行。

官方域名

CoinKirin 仅在以下域名下运营。其它均非我方：

coinkirin.com — 主站（面向公众用户）。

api.coinkirin.com — 公开 REST API。

static.coinkirin.com — 通过 CDN 提供的静态资源（图片、CSS、JS）。

mcp.coinkirin.com — 面向 AI 代理的 MCP 服务器。

我们绝不会要求您在其它域名登录。如果浏览器地址栏的 URL 不是上述之一，请立即关闭页面。

如何识别钓鱼

攻击者可能冒充 CoinKirin 员工或使用相似域名。请牢记以下原则：

我们永远不会通过邮件索要您的助记词、私钥或钱包密码。任何这样做的人都是骗子。

我们永远不会主动通过 Telegram、Discord 或 WhatsApp 私信与您联系索要资金、验证或凭据。

务必检查域名拼写。攻击者常用手段包括 c0inkirin.com、coinklrin.com 或 coinkirin.co 等变体。

检查 SSL 证书——点击浏览器地址栏的锁形图标。证书必须颁发给 coinkirin.com。

我方合法邮件仅从 @coinkirin.com 域名发出。点击链接前请先将鼠标悬停以查看实际地址。

我们使用的安全响应头

CoinKirin 的每个页面都配置了严格的安全响应头：

HSTS — 强制 HTTPS 连接至少 180 天，覆盖所有子域名。

Content-Security-Policy (CSP) — 带 nonce 的严格 CSP——阻止注入脚本并限制资源加载源为我们自己的 CDN。

X-Frame-Options — 拒绝嵌入以防止点击劫持。

X-Content-Type-Options — 阻止 MIME 类型嗅探。

Referrer-Policy — Strict-origin-when-cross-origin——限制向第三方泄露 Referrer。

Android APK 签名

我们的 Android 应用以 APK 形式直接分发，并使用稳定密钥签名。安装或升级前请务必核对签名证书指纹——若指纹不符，APK 即为伪造。

SHA-256 签名证书指纹:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

您可通过以下命令校验指纹：apksigner verify --print-certs coinkirin-latest.apk。在已安装应用中，可在设置 → 关于 → 签名中查看设备上的指纹。

负责任披露政策

我们采用 90 天协调披露窗口。对研究人员的承诺：

我们将在 5 个工作日内确认收到您的报告。

对于出于善意并遵循本政策的研究人员，我们不会采取法律行动。

公开披露将与研究人员协调，通常在首次报告后 90 天内进行，或在修复部署后尽快进行。