CX
CoinExchange.Cash

Evidencia pública de seguridad y despliegue

Confianza y Seguridad

Respuestas directas sobre cómo la plataforma protege las operaciones — incluyendo lo que protege y lo que no.

Arquitectura de depósito en garantía

En cadenas compatibles con depósito en garantía, las operaciones P2P utilizan un depósito en garantía multifirma 2 de 3 específico de la cadena. Los tres participantes son el comprador, el vendedor y el árbitro de la plataforma, y cualquiera de los dos debe autorizar una liberación o un reembolso. Las criptomonedas en garantía no se agrupan en una única billetera caliente de la empresa.

Modelo de amenazas — lo que el depósito en garantía cubre y no cubre

El depósito en garantía reduce el riesgo de custodia y de contraparte: ningún participante individual puede mover las criptomonedas solo. No elimina todos los riesgos. Los fondos pueden permanecer bloqueados si los co-firmantes requeridos no están disponibles; el depósito en garantía no puede revertir un pago fuera de la plataforma, detener el phishing o la ingeniería social, recuperar una clave de billetera perdida, ni eliminar el riesgo de blockchain y contratos inteligentes. Mantén la comunicación y la evidencia de pago dentro de la operación.

Proceso de disputa

Si una operación sale mal, cualquiera de las partes puede abrir una disputa. Un árbitro revisa la evidencia dentro de la operación (mensajes, prueba de pago) y co-firma para liberar los fondos al comprador o reembolsar al vendedor. El árbitro por sí solo no puede tomar los fondos — siempre se requieren dos de tres firmas.

Excepciones de verificación de identidad

La navegación P2P estándar y la actividad basada en billetera de menor volumen pueden estar disponibles sin documentos de identidad. La verificación puede ser requerida para volúmenes de operaciones más altos, acceso a rampas de entrada/salida de fiat, indicadores de monitoreo de riesgo, u obligaciones legales y regulatorias. El acceso puede restringirse si la verificación requerida no se completa.

Custodia de la clave del árbitro

Las claves actuales del árbitro usan custodia por software: cifrado AES-256-GCM en PostgreSQL y descifrado en memoria del proceso para firmar. La integración con HSM físico como CloudHSM o YubiHSM sigue siendo trabajo futuro.

Verificación de contrato

Los depósitos, liberaciones y reembolsos del depósito en garantía pueden inspeccionarse en el explorador de bloques público relevante. El código fuente del contrato de depósito en garantía EVM está publicado, pero la publicación del código fuente por sí sola no es prueba de que el bytecode desplegado coincida con él: verifica la dirección del contrato mostrada y la verificación del explorador donde esté disponible. No reclamamos una auditoría o certificación de terceros que no hayamos recibido.

Bitcoin / LitecoinMultifirma activa en cadenaP2WSH 2-of-3
Base / EVMCódigo publicado; despliegue de producción no publicadopackages/contracts
Monero / Solana / TRON / CardanoEn desarrollo; no debe considerarse multifirma activapackages/escrow
CXCash / AztecSolo red de pruebaspackages/cxcash-contract

Registro publicado de direcciones de contratos

Actualmente no se publica ninguna dirección de producción de escrow EVM ni un manifiesto de despliegue verificado.

Despliegue reproducible y verificación del código

  1. pnpm --filter @coinexchange/contracts compile
  2. pnpm --filter @coinexchange/contracts deploy:base-sepolia
  3. pnpm --filter @coinexchange/contracts verify:base-sepolia -- <address>
Revisar el código fuente del contrato publicado

Retención de datos

La retención depende de los datos: los registros de operaciones y transacciones se guardan durante al menos 5 años; los registros KYC, cuando se recopilan, generalmente se guardan durante 5 años después de que finaliza la relación; los registros de auditoría durante al menos 2 años; el chat de operaciones durante la operación más 1 año; y los registros de sesión/seguridad durante un máximo de 90 días. No vendemos datos personales. Consulta la Política de Privacidad para el cronograma completo.

Leer la Política de Privacidad completa

Transparencia de tiempo de actividad e incidentes

Actualmente no publicamos un porcentaje de tiempo de actividad verificado de forma independiente ni prometemos un SLA de tiempo de actividad. La disponibilidad depende de la aplicación web, la API, los proveedores de billeteras y la blockchain relevante. Los incidentes materiales de seguridad o disponibilidad se describirán en actualizaciones públicas fechadas después de la contención, cuando la divulgación no aumente el riesgo; los usuarios pueden reportar problemas a través del Centro de Ayuda.

No se han añadido entradas a este registro público de incidentes. Esto no demuestra que no haya ocurrido ningún incidente ni garantiza disponibilidad.

Disponibilidad actual de la API

Comprobar estado actual de la API

Esta comprobación puntual no es un SLA de disponibilidad ni un historial de servicio.

Confianza y Seguridad | CoinExchange