Kraken contre Gemini : meilleur échange pour la sécurité ? (Revoir)

Comparaison des infrastructures de sécurité

1. Kraken maintient une architecture de sécurité multicouche qui comprend un stockage à froid pour plus de 95 % des actifs des utilisateurs, des systèmes de signature isolés et des modules de sécurité matériels (HSM) certifiés selon les normes FIPS 140-2 niveau 3.

2. Gemini utilise un modèle de stockage frigorifique similaire, mais ajoute une couche supplémentaire via son protocole de conservation « Projet Winklevoss », qui exige des approbations à double signature dans des emplacements géographiquement dispersés pour tout mouvement d'actifs.

3. Les deux plates-formes sont soumises chaque année à des tests d'intrusion par des tiers ; cependant, Kraken publie des rapports d'audit complets d'entreprises comme NCC Group, tandis que Gemini publie des résumés validés par Deloitte sans divulguer l'intégralité des conclusions techniques.

4. L'équipe de sécurité interne de Kraken comprend d'anciens cryptographes de la NSA et d'anciens enquêteurs sur la cybercriminalité du FBI, tandis que la direction de la sécurité de Gemini est principalement issue du milieu de la conformité financière et met moins l'accent sur l'expertise en matière de sécurité offensive.

5. Les options d'authentification à deux facteurs diffèrent : Kraken prend en charge les clés de sécurité U2F, TOTP et le secours SMS, tandis que Gemini restreint entièrement les SMS et n'autorise que U2F et TOTP, réduisant ainsi la surface d'attaque mais limitant l'accessibilité pour certains utilisateurs.

Conformité réglementaire et licences

1. Gemini est titulaire d'une BitLicense du Département des services financiers de l'État de New York (NYDFS) – la première et la plus stricte licence de cryptographie aux États-Unis – et opère en tant que dépositaire qualifié en vertu de la règle 17f-2 de la SEC.

2. Kraken ne détient pas de BitLicense mais est enregistré en tant qu'entreprise de services monétaires (MSB) auprès du FinCEN et agréé en tant qu'opérateur d'activité commerciale de monnaie virtuelle (VCBA) dans plusieurs États, dont Washington et le Texas.

3. La surveillance du NYDFS par Gemini exige des attestations trimestrielles sur la ségrégation des actifs et des preuves de réserves mensuelles vérifiées par un cabinet comptable indépendant.

4. Kraken soumet des états financiers annuels aux régulateurs de l'État, mais ne divulgue pas publiquement la vérification des réserves en temps réel et ne se soumet pas à des attestations obligatoires liées au statut de dépositaire.

5. Les deux bourses sont conformes aux cadres KYC/AML, mais Gemini applique des seuils de vérification d'identité plus stricts, rejetant certaines pièces d'identité émises par le gouvernement jugées insuffisamment lisibles par machine ou manquant de validation biométrique.

Couverture d'assurance et protection des actifs

1. Gemini assure les actifs numériques détenus dans des portefeuilles chauds jusqu'à 200 millions de dollars via AIG, couvrant le vol résultant de violations de cybersécurité, de menaces internes et d'accès non autorisés.

2. Kraken souscrit des polices d'assurance contre la criminalité totalisant 250 millions de dollars, bien que le texte de la politique exclue les pertes résultant de vulnérabilités de contrats intelligents, de défaillances d'Oracle ou d'attaques d'ingénierie sociale ciblant les employés.

3. Aucun des deux échanges n'assure les pertes des utilisateurs dues au phishing, aux logiciels malveillants ou aux appareils personnels compromis : la responsabilité incombe uniquement au titulaire du compte.

4. L'assurance de Gemini s'étend aux pertes subies lors des événements de migration de portefeuille initiés par les mises à niveau de la plateforme, tandis que Kraken exclut explicitement la couverture des erreurs opérationnelles commises lors des transitions d'infrastructure.

5. Les deux plateformes maintiennent des comptes clients séparés, mais seul Gemini publie des instantanés de bilan trimestriels ne montrant aucun mélange entre les fonds de l'entreprise et les actifs des clients.

Réponse aux incidents et historique de transparence

1. Kraken a fait l'objet d'une campagne de phishing ciblée au deuxième trimestre 2022, touchant moins de 200 utilisateurs ; il a divulgué l'événement dans les 72 heures et a proposé le remboursement des pertes vérifiées.

2. Gemini n'a signalé aucun incident de sécurité publique depuis son lancement en 2015, bien que des documents internes divulgués en 2021 aient révélé deux quasi-accidents de clés API atténués avant exploitation.

3. L'équipe de réponse aux incidents de Kraken s'active dans les 15 minutes suivant la détection confirmée d'une violation, conformément à son SLA publié, et engage des partenaires médico-légaux externes dans un délai d'une heure.

4. Le protocole de réponse de Gemini comprend un gel obligatoire de 48 heures sur toutes les demandes de retrait après la détection d'une anomalie, même en cas de faux positif, retardant ainsi les transactions légitimes pendant les périodes de forte volatilité.

5. Kraken maintient un programme public de primes aux bogues avec des paiements allant jusqu'à 25 000 $ pour les vulnérabilités critiques ; Gemini gère un programme privé sur invitation uniquement avec des niveaux de récompenses non divulgués et aucun classement public.

Foire aux questions

Q : Kraken stocke-t-il les clés privées des utilisateurs ? Non. Kraken ne génère ni ne stocke jamais les clés privées des utilisateurs. Toutes les signatures cryptographiques s'effectuent dans des environnements HSM renforcés, gérés exclusivement par l'infrastructure de garde de Kraken.

Q : Gemini peut-il geler des comptes sans ordonnance judiciaire ? Oui. Conformément à ses conditions d'utilisation, Gemini se réserve le droit de suspendre les comptes en cas de détection d'activités suspectes, de signaux d'alarme réglementaires ou de violations de sa politique d'utilisation acceptable, sans nécessiter l'approbation du tribunal.

Q : Les adresses de stockage frigorifique de Kraken sont-elles publiquement vérifiables ? Non. Kraken ne publie pas les adresses de dépôt Bitcoin ou Ethereum utilisées pour le stockage frigorifique. Il fournit uniquement des données de preuve de réserves agrégées sans mappage d'adresses en chaîne.

Q : Gemini permet-il l'intégration de l'auto-garde via des portefeuilles non dépositaires ? Non. Gemini interdit la connexion directe à des portefeuilles externes non dépositaires pour des fonctions de trading ou de jalonnement. Tous les actifs doivent résider dans des adresses contrôlées par Gemini lors de la participation active aux services de la plateforme.