如果你正在看这篇文章,可能是因为你刚刚发现自己的币安API Key被泄露了,或者怀疑被泄露了。不管是不小心把Key提交到了GitHub,还是在某个第三方工具里填了之后发现不太对劲,现在要做的就是一个字——快。先登录币安官网或者打开币安官方APP,按照下面的步骤立刻操作。苹果手机如果没装APP,可以参考iOS安装教程快速安装。
第一时间要做的事
时间就是金钱,这话在API Key泄露的时候体现得淋漓尽致。
立刻删除泄露的API Key
登录币安之后,进入API管理页面。找到被泄露的那个API Key,直接点删除。不要犹豫,不要想着"先看看有没有被人用过",直接删。你每多犹豫一秒钟,攻击者就多一秒钟可以利用你的API Key进行操作。
如果你不确定是哪个Key被泄露了,那就把所有的API Key全部删除。宁可后面重新创建,也不能留着一个有风险的Key。
检查账户资产
删完API Key之后,立刻检查你的账户资产。看看现货账户、合约账户、理财账户里的资产有没有异常变动。重点关注有没有你不认识的交易记录或者提币记录。
查看交易记录
进入交易历史页面,仔细看看最近的交易记录里有没有你没有做过的操作。API Key被盗用之后,攻击者通常会做两种事情:一种是直接通过API提币(如果你的API Key开了提币权限的话),另一种是通过高买低卖的方式把你的资产转移到他们控制的账户里。
查看提币记录
去提币记录页面看看有没有你不认识的提币操作。如果发现有未经授权的提币,立刻联系币安客服报告情况。
API Key是怎么泄露的
搞清楚泄露原因,才能避免下次再犯同样的错误。
代码仓库泄露
这是最常见的泄露途径。很多开发者在写交易机器人的时候,把API Key直接写在代码里,然后不小心推送到了公开的GitHub仓库。现在网上有大量的爬虫专门扫描GitHub上的API Key,你推送上去几分钟之内就可能被发现。
第三方工具泄露
一些第三方的交易工具、量化平台、跟单系统需要你填入API Key才能使用。如果这些平台的安全措施不到位,或者本身就是骗局,你的API Key就被泄露了。
电脑被入侵
如果你的电脑感染了木马或者恶意软件,存储在本地的API Key可能会被窃取。特别是那些明文存储在配置文件里的Key,对木马来说就是送上门的。
社交工程
有人假冒币安客服或者技术支持,以帮你调试交易机器人或者解决技术问题为由,让你提供API Key。记住,任何人问你要API Key都是不正常的。
截图或聊天记录泄露
在群里讨论技术问题的时候,不小心截图露出了API Key。或者在发错误日志的时候没有打码就贴出来了。
删除旧Key之后怎么创建新的
旧的Key删了,需要重新创建新的API Key,这次要注意安全设置。
创建步骤
在API管理页面点击"创建API Key",给它起一个有意义的名称,比如"量化交易专用"或者"数据查询"。创建过程中需要输入谷歌验证码或者短信验证码来确认身份。
创建成功后,会显示API Key和Secret Key。Secret Key只会显示这一次,关掉页面之后就再也看不到了。把它复制到安全的地方保存,比如密码管理器里。
最小权限原则
创建API Key的时候,一定要遵守最小权限原则,就是只开你需要的权限,其他的全部关掉。
如果你只是用来查看行情和账户信息,那就只开"读取"权限,交易权限和提币权限都不要开。
如果你需要用API来交易,开"读取"和"交易"权限就够了,提币权限千万不要开。
提币权限是最危险的权限。除非你有非常明确的需求并且采取了充分的安全措施,否则永远不要给API Key开提币权限。
绑定IP白名单
这是最重要的安全设置。在创建或编辑API Key的时候,可以设置IP白名单。只有从白名单里的IP地址发起的请求才会被接受,其他IP的请求会被直接拒绝。
如果你的交易机器人运行在一台固定IP的服务器上,就把那台服务器的IP加入白名单。如果你是在家里用的,可以查一下自己的公网IP然后加进去(但要注意家用宽带的IP可能会变)。
绑定了IP白名单之后,即使API Key泄露了,攻击者因为IP不在白名单里也无法使用。这是目前最有效的API安全防护措施。
API Key的安全管理最佳实践
吃一堑长一智,以后在管理API Key的时候注意以下几点。
永远不要硬编码
不要把API Key直接写在代码里。正确的做法是使用环境变量或者配置文件来存储,而且配置文件要加入.gitignore,绝对不要提交到版本控制系统里。
使用密码管理器
把API Key存储在密码管理器里,比如1Password、Bitwarden或者KeePass。不要放在纯文本文件里,也不要放在聊天记录或者备忘录里。
定期轮换
即使没有泄露,也建议定期更换API Key。比如每三个月创建一个新的Key,把旧的删掉。就像定期换密码一样,减少Key被长期利用的风险。
一个工具一个Key
如果你同时使用多个第三方工具或者运行多个交易机器人,给每个工具创建单独的API Key。这样如果某个工具出了问题,你只需要删掉那一个Key,不影响其他工具的正常运行。而且通过名称可以快速定位是哪个Key被泄露了。
监控API调用
定期去币安的API管理页面看看每个Key的调用情况。如果某个Key的调用量突然暴增,或者出现了你没有发起过的调用,那就说明可能有问题了。
发现资产被盗了怎么办
如果检查之后发现确实有资产被盗了,需要采取以下步骤。
禁用账户
在安全设置里点击"禁用账户",暂时冻结你的账号。这样可以阻止攻击者的进一步操作。
联系币安客服
通过APP内的在线客服或者提交工单,详细说明你的API Key被泄露以及资产被盗的情况。提供被盗的交易记录、提币记录等证据。
保留证据
截图保存所有异常的交易记录、提币记录、API调用日志。如果你知道泄露的途径(比如某个第三方工具),也把相关的截图保存下来。这些证据在后续的调查中可能会用到。
报警
如果损失金额较大,考虑向当地公安机关报案。虽然加密货币被盗的追回难度很大,但是报案留下记录是必要的。
第三方工具的API Key使用建议
如果你需要使用第三方工具并且必须提供API Key,注意以下几点。
评估工具的可信度
在填入API Key之前,先调查一下这个工具的背景。看看它有没有公开的代码审计报告,运营了多长时间,社区口碑怎么样。新出的、没人听过的工具要格外谨慎。
只给必要的权限
给第三方工具的API Key只开它实际需要的权限。一个行情分析工具要你的交易权限就很不合理,一个交易工具要你的提币权限更不合理。
绑定IP白名单
如果第三方工具运行在固定的服务器上,问客服要服务器的IP地址,然后设置IP白名单。正规的第三方工具一般都会提供它们服务器的IP列表。
及时清理不用的Key
不再使用某个第三方工具之后,立刻去币安删掉对应的API Key。不要觉得不用了就放着没事,万一那个工具后来被黑了,你之前留下的Key就成了隐患。
总结
API Key泄露是一件严重的安全事件,但只要反应够快,大多数情况下损失是可以最小化的。核心步骤就是:删Key、查资产、改密码、加固安全设置。以后管理API Key的时候记住最小权限原则和IP白名单,这两个措施做到了,即使Key泄露了影响也有限。