Kraken vs. Gemini：安全的最佳交换？ （审查）

安全基础设施比较

1. Kraken 维护多层安全架构，其中包括 95% 以上的用户资产的冷存储、气隙签名系统以及经过 FIPS 140-2 3 级标准认证的硬件安全模块 (HSM)。

2. Gemini 采用类似的冷存储模型，但通过其“Project Winklevoss”托管协议增加了一个额外的层，该协议要求任何资产移动都必须在地理位置分散的地点进行双重签名批准。

3. 两个平台均每年进行第三方渗透测试；然而，Kraken 发布了 NCC Group 等公司的完整审计报告，而 Gemini 则发布了经过德勤验证的摘要，但没有披露完整的技术调查结果。

4. Kraken的内部安全团队包括前NSA密码学家和前FBI网络犯罪调查员，而Gemini的安全领导层主要来自金融合规背景，不太重视进攻性安全专业知识。

5. 双因素身份验证选项有所不同：Kraken 支持 U2F 安全密钥、TOTP 和 SMS 回退，而 Gemini 完全限制 SMS 并且仅允许 U2F 和 TOTP，从而减少了攻击面，但限制了某些用户的可访问性。

监管合规性和许可

1. Gemini 持有纽约州金融服务部 (NYDFS) BitLicense——美国第一个也是最严格的加密货币许可证——并根据 SEC 规则 17f-2 作为合格托管人运营。

2. Kraken 没有持有 BitLicense，但在 FinCEN 注册为货币服务业务 (MSB)，并在华盛顿州和德克萨斯州等多个州获得虚拟货币业务活动 (VCBA) 运营商许可。

3. Gemini 的 NYDFS 监督要求每季度提供由独立会计师事务所验证的资产隔离证明和每月准备金证明披露。

4. Kraken 向国家监管机构提交年度财务报表，但不公开披露实时储备核查或接受与托管状态相关的强制证明。

5. 两家交易所都遵守 KYC/AML 框架，但 Gemini 执行更严格的身份验证阈值——拒绝某些被认为机器可读性不够或缺乏生物识别验证的政府颁发的 ID。

保险范围和资产保护

1. Gemini 通过 AIG 为热钱包中保存的数字资产提供高达 2 亿美元的保险，涵盖因网络安全漏洞、内部威胁和未经授权的访问而导致的盗窃。

2. Kraken 承保总额为 2.5 亿美元的犯罪保险保单，但保单语言不包括因智能合约漏洞、预言机故障或针对员工的社会工程攻击而造成的损失。

3. 两家交易所都不保证用户因网络钓鱼、恶意软件或个人设备受损而造成的损失——责任仅由账户持有人承担。

4. Gemini 的保险范围涵盖平台升级引发的钱包迁移事件期间发生的损失，而 Kraken 明确排除了基础设施过渡期间发生的操作错误的保险。

5. 两个平台都保持独立的客户账户，但只有 Gemini 发布季度资产负债表快照，显示公司资金和客户资产之间的零混合。

事件响应和透明度历史记录

1. Kraken 在 2022 年第二季度经历了一次有针对性的网络钓鱼活动，影响的用户不到 200 名；该公司在 72 小时内披露了该事件，并对经核实的损失进行了赔偿。

2. Gemini 自 2015 年推出以来没有报告任何公共安全事件，尽管 2021 年泄露的内部文件显示，两次险些发生的 API 密钥泄露在利用之前得到了缓解。

3. Kraken 的事件响应团队根据其发布的 SLA 在确认违规检测后 15 分钟内启动，并在一小时内与外部取证合作伙伴合作。

4. Gemini 的响应协议包括在异常检测后（即使是误报）强制冻结所有提款请求 48 小时，从而在高波动时期延迟合法交易。

5. Kraken 维护着一项公共漏洞赏金计划，针对严重漏洞的奖励高达 25,000 美元； Gemini 运营着一项仅限受邀者参与的私人计划，奖励等级未公开，也没有公开排行榜。

常见问题解答

问：Kraken 是否存储用户私钥？不会。Kraken 从不生成或存储用户私钥。所有加密签名都发生在由 Kraken 托管基础设施专门管理的强化 HSM 环境中。

问：Gemini 可以在没有司法命令的情况下冻结账户吗？是的。根据其服务条款，Gemini 保留在检测到可疑活动、监管危险信号或违反其可接受使用政策时暂停帐户的权利，而无需法院批准。

问：Kraken 的冷存储地址可以公开验证吗？不会。Kraken 不会公布用于冷存储的 Bitcoin 或以太坊存款地址。它仅提供聚合的储备证明数据，而不提供链上地址映射。

问：Gemini 是否允许通过非托管钱包进行自我托管集成？不可以。Gemini 禁止直接连接到外部非托管钱包以进行交易或质押功能。积极参与平台服务期间，所有资产必须位于Gemini控制的地址内。