如果你正在看這篇文章,可能是因為你剛剛發現自己的幣安API Key被洩露了,或者懷疑被洩露了。不管是不小心把Key提交到了GitHub,還是在某個第三方工具裡填了之後發現不太對勁,現在要做的就是一個字——快。先登入幣安官網或者開啟幣安官方APP,按照下面的步驟立刻操作。蘋果手機如果沒裝APP,可以參考iOS安裝教程快速安裝。
第一時間要做的事
時間就是金錢,這話在API Key洩露的時候體現得淋漓盡致。
立刻刪除洩露的API Key
登入幣安之後,進入API管理頁面。找到被洩露的那個API Key,直接點刪除。不要猶豫,不要想著"先看看有沒有被人用過",直接刪。你每多猶豫一秒鐘,攻擊者就多一秒鐘可以利用你的API Key進行操作。
如果你不確定是哪個Key被洩露了,那就把所有的API Key全部刪除。寧可後面重新建立,也不能留著一個有風險的Key。
檢查賬戶資產
刪完API Key之後,立刻檢查你的賬戶資產。看看現貨賬戶、合約賬戶、理財賬戶裡的資產有沒有異常變動。重點關注有沒有你不認識的交易記錄或者提幣記錄。
檢視交易記錄
進入交易歷史頁面,仔細看看最近的交易記錄裡有沒有你沒有做過的操作。API Key被盜用之後,攻擊者通常會做兩種事情:一種是直接透過API提幣(如果你的API Key開了提幣許可權的話),另一種是透過高買低賣的方式把你的資產轉移到他們控制的賬戶裡。
檢視提幣記錄
去提幣記錄頁面看看有沒有你不認識的提幣操作。如果發現有未經授權的提幣,立刻聯絡幣安客服報告情況。
API Key是怎麼洩露的
搞清楚洩露原因,才能避免下次再犯同樣的錯誤。
程式碼倉庫洩露
這是最常見的洩露途徑。很多開發者在寫交易機器人的時候,把API Key直接寫在程式碼裡,然後不小心推送到了公開的GitHub倉庫。現在網上有大量的爬蟲專門掃描GitHub上的API Key,你推送上去幾分鐘之內就可能被發現。
第三方工具洩露
一些第三方的交易工具、量化平臺、跟單系統需要你填入API Key才能使用。如果這些平臺的安全措施不到位,或者本身就是騙局,你的API Key就被洩露了。
電腦被入侵
如果你的電腦感染了木馬或者惡意軟體,儲存在本地的API Key可能會被竊取。特別是那些明文儲存在配置檔案裡的Key,對木馬來說就是送上門的。
社交工程
有人假冒幣安客服或者技術支援,以幫你除錯交易機器人或者解決技術問題為由,讓你提供API Key。記住,任何人問你要API Key都是不正常的。
截圖或聊天記錄洩露
在群裡討論技術問題的時候,不小心截圖露出了API Key。或者在發錯誤日誌的時候沒有打碼就貼出來了。
刪除舊Key之後怎麼建立新的
舊的Key刪了,需要重新建立新的API Key,這次要注意安全設定。
建立步驟
在API管理頁面點選"建立API Key",給它起一個有意義的名稱,比如"量化交易專用"或者"資料查詢"。建立過程中需要輸入谷歌驗證碼或者簡訊驗證碼來確認身份。
建立成功後,會顯示API Key和Secret Key。Secret Key只會顯示這一次,關掉頁面之後就再也看不到了。把它複製到安全的地方儲存,比如密碼管理器裡。
最小許可權原則
建立API Key的時候,一定要遵守最小許可權原則,就是隻開你需要的許可權,其他的全部關掉。
如果你只是用來檢視行情和賬戶資訊,那就只開"讀取"許可權,交易許可權和提幣許可權都不要開。
如果你需要用API來交易,開"讀取"和"交易"許可權就夠了,提幣許可權千萬不要開。
提幣許可權是最危險的許可權。除非你有非常明確的需求並且採取了充分的安全措施,否則永遠不要給API Key開提幣許可權。
繫結IP白名單
這是最重要的安全設定。在建立或編輯API Key的時候,可以設定IP白名單。只有從白名單裡的IP地址發起的請求才會被接受,其他IP的請求會被直接拒絕。
如果你的交易機器人執行在一臺固定IP的伺服器上,就把那臺伺服器的IP加入白名單。如果你是在家裡用的,可以查一下自己的公網IP然後加進去(但要注意家用寬頻的IP可能會變)。
繫結了IP白名單之後,即使API Key洩露了,攻擊者因為IP不在白名單裡也無法使用。這是目前最有效的API安全防護措施。
API Key的安全管理最佳實踐
吃一塹長一智,以後在管理API Key的時候注意以下幾點。
永遠不要硬編碼
不要把API Key直接寫在程式碼裡。正確的做法是使用環境變數或者配置檔案來儲存,而且配置檔案要加入.gitignore,絕對不要提交到版本控制系統裡。
使用密碼管理器
把API Key儲存在密碼管理器裡,比如1Password、Bitwarden或者KeePass。不要放在純文字檔案裡,也不要放在聊天記錄或者備忘錄裡。
定期輪換
即使沒有洩露,也建議定期更換API Key。比如每三個月建立一個新的Key,把舊的刪掉。就像定期換密碼一樣,減少Key被長期利用的風險。
一個工具一個Key
如果你同時使用多個第三方工具或者執行多個交易機器人,給每個工具建立單獨的API Key。這樣如果某個工具出了問題,你只需要刪掉那一個Key,不影響其他工具的正常執行。而且透過名稱可以快速定位是哪個Key被洩露了。
監控API呼叫
定期去幣安的API管理頁面看看每個Key的呼叫情況。如果某個Key的呼叫量突然暴增,或者出現了你沒有發起過的呼叫,那就說明可能有問題了。
發現資產被盜了怎麼辦
如果檢查之後發現確實有資產被盜了,需要採取以下步驟。
禁用賬戶
在安全設定裡點選"禁用賬戶",暫時凍結你的賬號。這樣可以阻止攻擊者的進一步操作。
聯絡幣安客服
透過APP內的線上客服或者提交工單,詳細說明你的API Key被洩露以及資產被盜的情況。提供被盜的交易記錄、提幣記錄等證據。
保留證據
截圖儲存所有異常的交易記錄、提幣記錄、API呼叫日誌。如果你知道洩露的途徑(比如某個第三方工具),也把相關的截圖儲存下來。這些證據在後續的調查中可能會用到。
報警
如果損失金額較大,考慮向當地公安機關報案。雖然加密貨幣被盜的追回難度很大,但是報案留下記錄是必要的。
第三方工具的API Key使用建議
如果你需要使用第三方工具並且必須提供API Key,注意以下幾點。
評估工具的可信度
在填入API Key之前,先調查一下這個工具的背景。看看它有沒有公開的程式碼審計報告,運營了多長時間,社群口碑怎麼樣。新出的、沒人聽過的工具要格外謹慎。
只給必要的許可權
給第三方工具的API Key只開它實際需要的許可權。一個行情分析工具要你的交易許可權就很不合理,一個交易工具要你的提幣許可權更不合理。
繫結IP白名單
如果第三方工具執行在固定的伺服器上,問客服要伺服器的IP地址,然後設定IP白名單。正規的第三方工具一般都會提供它們伺服器的IP列表。
及時清理不用的Key
不再使用某個第三方工具之後,立刻去幣安刪掉對應的API Key。不要覺得不用了就放著沒事,萬一那個工具後來被黑了,你之前留下的Key就成了隱患。
總結
API Key洩露是一件嚴重的安全事件,但只要反應夠快,大多數情況下損失是可以最小化的。核心步驟就是:刪Key、查資產、改密碼、加固安全設定。以後管理API Key的時候記住最小許可權原則和IP白名單,這兩個措施做到了,即使Key洩露了影響也有限。