Kraken vs. Gemini：安全的最佳交換？ （審查）

安全基礎設施比較

1. Kraken 維護多層安全架構，其中包括 95% 以上的用戶資產的冷存儲、氣隙簽名系統以及經過 FIPS 140-2 3 級標準認證的硬件安全模塊 (HSM)。

2. Gemini 採用類似的冷存儲模型，但通過其“Project Winklevoss”託管協議增加了一個額外的層，該協議要求任何資產移動都必須在地理位置分散的地點進行雙重簽名批准。

3. 兩個平台均每年進行第三方滲透測試；然而，Kraken 發布了 NCC Group 等公司的完整審計報告，而 Gemini 則發布了經過德勤驗證的摘要，但沒有披露完整的技術調查結果。

4. Kraken的內部安全團隊包括前NSA密碼學家和前FBI網絡犯罪調查員，而Gemini的安全領導層主要來自金融合規背景，不太重視進攻性安全專業知識。

5. 雙因素身份驗證選項有所不同：Kraken 支持 U2F 安全密鑰、TOTP 和 SMS 回退，而 Gemini 完全限制 SMS 並且僅允許 U2F 和 TOTP，從而減少了攻擊面，但限制了某些用戶的可訪問性。

監管合規性和許可

1. Gemini 持有紐約州金融服務部 (NYDFS) BitLicense——美國第一個也是最嚴格的加密貨幣許可證——並根據 SEC 規則 17f-2 作為合格託管人運營。

2. Kraken 沒有持有 BitLicense，但在 FinCEN 註冊為貨幣服務業務 (MSB)，並在華盛頓州和德克薩斯州等多個州獲得虛擬貨幣業務活動 (VCBA) 運營商許可。

3. Gemini 的 NYDFS 監督要求每季度提供由獨立會計師事務所驗證的資產隔離證明和每月準備金證明披露。

4. Kraken 向國家監管機構提交年度財務報表，但不公開披露實時儲備核查或接受與託管狀態相關的強制證明。

5. 兩家交易所都遵守 KYC/AML 框架，但 Gemini 執行更嚴格的身份驗證閾值——拒絕某些被認為機器可讀性不夠或缺乏生物識別驗證的政府頒發的 ID。

保險範圍和資產保護

1. Gemini 通過 AIG 為熱錢包中保存的數字資產提供高達 2 億美元的保險，涵蓋因網絡安全漏洞、內部威脅和未經授權的訪問而導致的盜竊。

2. Kraken 承保總額為 2.5 億美元的犯罪保險保單，但保單語言不包括因智能合約漏洞、預言機故障或針對員工的社會工程攻擊而造成的損失。

3. 兩家交易所都不保證用戶因網絡釣魚、惡意軟件或個人設備受損而造成的損失——責任僅由賬戶持有人承擔。

4. Gemini 的保險範圍涵蓋平台升級引發的錢包遷移事件期間發生的損失，而 Kraken 明確排除了基礎設施過渡期間發生的操作錯誤的保險。

5. 兩個平台都保持獨立的客戶賬戶，但只有 Gemini 發布季度資產負債表快照，顯示公司資金和客戶資產之間的零混合。

事件響應和透明度歷史記錄

1. Kraken 在 2022 年第二季度經歷了一次有針對性的網絡釣魚活動，影響的用戶不到 200 名；該公司在 72 小時內披露了該事件，並對經核實的損失進行了賠償。

2. Gemini 自 2015 年推出以來沒有報告任何公共安全事件，儘管 2021 年洩露的內部文件顯示，兩次險些發生的 API 密鑰洩露在利用之前得到了緩解。

3. Kraken 的事件響應團隊根據其發布的 SLA 在確認違規檢測後 15 分鐘內啟動，並在一小時內與外部取證合作夥伴合作。

4. Gemini 的響應協議包括在異常檢測後（即使是誤報）強制凍結所有提款請求 48 小時，從而在高波動時期延遲合法交易。

5. Kraken 維護著一項公共漏洞賞金計劃，針對嚴重漏洞的獎勵高達 25,000 美元； Gemini 運營著一項僅限受邀者參與的私人計劃，獎勵等級未公開，也沒有公開排行榜。

常見問題解答

問：Kraken 是否存儲用戶私鑰？不會。 Kraken 從不生成或存儲用戶私鑰。所有加密簽名都發生在由 Kraken 託管基礎設施專門管理的強化 HSM 環境中。

問：Gemini 可以在沒有司法命令的情況下凍結賬戶嗎？是的。根據其服務條款，Gemini 保留在檢測到可疑活動、監管危險信號或違反其可接受使用政策時暫停帳戶的權利，而無需法院批准。

問：Kraken 的冷存儲地址可以公開驗證嗎？不會。 Kraken 不會公佈用於冷存儲的 Bitcoin 或以太坊存款地址。它僅提供聚合的儲備證明數據，而不提供鏈上地址映射。

問：Gemini 是否允許通過非託管錢包進行自我託管集成？不可以。 Gemini 禁止直接連接到外部非託管錢包以進行交易或質押功能。積極參與平台服務期間，所有資產必須位於Gemini控制的地址內。