크라켄 대 제미니: 보안을 위한 최고의 교환? (검토)

보안 인프라 비교

1. Kraken은 사용자 자산의 95% 이상을 위한 콜드 스토리지, 에어갭 서명 시스템, FIPS 140-2 레벨 3 표준 인증을 받은 하드웨어 보안 모듈(HSM)을 포함하는 다층 보안 아키텍처를 유지합니다.

2. Gemini는 유사한 콜드 스토리지 모델을 사용하지만 자산 이동에 대해 지리적으로 분산된 위치에 걸쳐 이중 서명 승인을 요구하는 "Project Winklevoss" 보관 프로토콜을 통해 추가 계층을 추가합니다.

3. 두 플랫폼 모두 매년 제3자 침투 테스트를 거칩니다. 그러나 Kraken은 NCC Group과 같은 회사의 전체 감사 보고서를 게시하는 반면 Gemini는 전체 기술 결과를 공개하지 않고 Deloitte가 검증한 요약을 공개합니다.

4. Kraken의 내부 보안 팀에는 전 NSA 암호 전문가와 전 FBI 사이버 범죄 수사관이 포함되어 있는 반면, Gemini의 보안 리더십은 공격적인 보안 전문 지식에 덜 중점을 두고 주로 금융 규정 준수 배경에서 비롯되었습니다.

5. 2단계 인증 옵션은 다릅니다. Kraken은 U2F 보안 키, TOTP 및 SMS 폴백을 지원하는 반면 Gemini는 SMS를 완전히 제한하고 U2F 및 TOTP만 허용하여 공격 표면을 줄이지만 일부 사용자의 접근성을 제한합니다.

규정 준수 및 라이센스

1. Gemini는 미국 최초이자 가장 엄격한 암호화폐 라이선스인 뉴욕주 금융서비스부(NYDFS) BitLicense를 보유하고 있으며 SEC 규정 17f-2에 따라 자격을 갖춘 관리인으로 운영됩니다.

2. Kraken은 BitLicense를 보유하고 있지 않지만 FinCEN에 MSB(머니 서비스 사업)로 등록되어 있으며 워싱턴과 텍사스를 포함한 여러 주에서 VCBA(가상 화폐 사업 활동) 운영자로 라이센스를 받았습니다.

3. Gemini의 NYDFS 감독에는 자산 분리에 대한 분기별 증명과 독립적인 회계 회사가 확인한 월별 보유금 공개 증명이 필요합니다.

4. 크라켄은 주 규제 기관에 연간 재무제표를 제출하지만 실시간 준비금 확인을 공개적으로 공개하거나 보관 상태와 관련된 필수 증명을 받지 않습니다.

5. 두 거래소 모두 KYC/AML 프레임워크를 준수하지만 Gemini는 기계 판독이 불충분하거나 생체 인식 검증이 부족한 것으로 간주되는 특정 정부 발급 ID를 거부하여 보다 엄격한 신원 확인 기준을 적용합니다.

보험 보장 및 자산 보호

1. Gemini는 AIG를 통해 핫 지갑에 보관된 디지털 자산을 최대 2억 달러까지 보장하며, 사이버 보안 침해, 내부자 위협, 무단 액세스로 인한 도난을 보장합니다.

2. Kraken은 총 2억 5천만 달러에 달하는 범죄 보험을 제공합니다. 단, 정책 언어에서는 스마트 계약 취약성, 오라클 오류 또는 직원을 대상으로 하는 사회 공학 공격으로 인해 발생하는 손실을 제외합니다.

3. 어느 거래소도 피싱, 맬웨어 또는 손상된 개인 장치로 인한 사용자 손실을 보장하지 않습니다. 책임은 전적으로 계정 소유자에게 있습니다.

4. Gemini의 보험은 플랫폼 업그레이드로 인해 시작된 지갑 마이그레이션 이벤트 중에 발생한 손실까지 확대되는 반면, Kraken은 인프라 전환 중에 발생한 운영 오류에 대한 보장을 명시적으로 제외합니다.

5. 두 플랫폼 모두 분리된 고객 계정을 유지하지만 Gemini만이 기업 자금과 고객 자산 간의 혼합이 전혀 없음을 보여주는 분기별 대차대조표 스냅샷을 게시합니다.

사고 대응 및 투명성 기록

1. Kraken은 2022년 2분기에 200명 미만의 사용자에게 영향을 미치는 표적 피싱 캠페인을 경험했습니다. 72시간 이내에 해당 사건을 공개하고 확인된 손실에 대해 보상을 제공했습니다.

2. Gemini는 2015년 출시 이후 공개 보안 사고를 보고하지 않았지만, 2021년에 유출된 내부 문서에서는 악용되기 전에 완화된 두 가지 아슬아슬한 API 키 노출이 밝혀졌습니다.

3. Kraken의 사고 대응 팀은 게시된 SLA에 따라 위반 감지가 확인된 후 15분 이내에 활성화되고 1시간 이내에 외부 포렌식 파트너와 협력합니다.

4. Gemini의 대응 프로토콜에는 이상 탐지 후 모든 출금 요청에 대한 필수 48시간 동결이 포함됩니다. 이는 거짓 긍정이라 하더라도 변동성이 높은 기간 동안 합법적인 거래를 지연시킵니다.

5. Kraken은 심각한 취약점에 대해 최대 25,000달러를 지급하는 공개 버그 포상금 프로그램을 유지하고 있습니다. Gemini는 공개 순위표가 없고 보상 등급이 공개되지 않은 비공개 초대 전용 프로그램을 운영합니다.

자주 묻는 질문

Q: Kraken은 사용자 개인 키를 저장합니까? 아니요. Kraken은 사용자 개인 키를 생성하거나 저장하지 않습니다. 모든 암호화 서명은 Kraken의 보관 인프라에서만 관리되는 강화된 HSM 환경 내에서 발생합니다.

Q: Gemini는 사법 명령 없이 계정을 동결할 수 있나요? 예. 서비스 약관에 따라 Gemini는 의심스러운 활동, 규제 위험 신호 또는 허용 가능한 사용 정책 위반을 감지하는 경우 법원 승인 없이 계정을 정지할 권리를 보유합니다.

Q: Kraken의 콜드 스토리지 주소는 공개적으로 검증 가능합니까? 아니요. Kraken은 콜드 스토리지에 사용되는 Bitcoin 또는 이더리움 입금 주소를 공개하지 않습니다. 온체인 주소 매핑 없이 집계된 보유량 증명 데이터만 제공합니다.

Q: Gemini는 비수탁 지갑을 통한 자체 보관 통합을 허용합니까? 아니요. Gemini는 거래 또는 스테이킹 기능을 위해 외부 비수탁 지갑에 직접 연결하는 것을 금지합니다. 모든 자산은 플랫폼 서비스에 적극적으로 참여하는 동안 Gemini가 관리하는 주소 내에 있어야 합니다.