交易所 API 密钥使用必备手册 | 黑客操纵交易所 API 历史

各大交易平台都有开放自己的 API（Application Programming Interface，应用程序编程接口），以便让第三方网站或应用访问交易平台的交易市场，进行实时交易，或者进行提币等操作。

而用户可以创建 API 密钥。在第三方网站或应用绑定 API 密钥，通过API密钥，对交易所服务器的请求进行签名验证，从而让交易所确定用户的身份。

API密钥属于敏感信息，一定要妥善保管，不要泄露，如果怀疑信息泄露，请立刻重设密钥。

以币安交易所为例：

登陆您的币安账户后，点击【API管理】。

点击启用后，请设置一个备注名（即API名称），点击【创建新API】。

输入谷歌验证码或手机验证码

二次验证通过后，系统会发送一封邮件到您的注册邮箱，请登录邮箱，点击【确认创建】。

创建成功后，请您务必保管好您的Secret Key，该Secret Key仅此一次出现，同时为了您的账户安全，请不要分享该页面。（如在之后使用过程中忘记Secret Key，为了保证账户安全，只能通过删除API后重新开启。）

API 泄露是指黑客通过常用的钓鱼手段，比如假冒网上银行链接、假冒交易所链接、垃圾邮件、虚假电商广告等等不法手段，窃取用户的交易所账号信息，由此获得用户交易所API的接口权限。然后，黑客操纵手中控制的大量API接口，影响交易市场，从而获取暴利，但对交易所、用户造成重大损失。

API权限棣属于用户权限，只要黑客得到了平台的用户权限，即可控制用户的API权限。如果黑客从一个或者几个交易平台，获取大量的API控制权，就可以操控某个币种的涨跌，从而左右市场行情。

而单价低、交易量小的小币种，易于操纵，常常成为攻击对象。黑客提前购买囤积这些小币种。攻击时，瞬间爆拉小币种价格之后，再在同个交易所的其它账户，或者其他交易平台，卖出提前准备的大量小币种，从而牟取暴利。

近两年来，交易所频频爆出 “ API 泄露事件 ” ，损失惨重，让加密货币投资者内心惶恐。仅仅头部交易所币安，就被爆出三次。

2018年3月7日，不少用户发现币安账户中持有的各种数字货币被卖出，换成了比特币。涉及超过20个币种。而 VIA 代币价格被爆拉110倍。

币安公告称，黑客利用第三方钓鱼网站（通过unicode的Binance域名钓鱼）盗得用户的账号登录信息，然后自动创建了交易API，潜伏下来伺机以动。到3月7日，黑客预先充值VIA币到31个账号，然后通过盗取的API Key，在VIA/BTC交易对，下市价买单，频繁抬高价格，企图高卖出VIA，然后再试图从这31个账号提走BTC。

虽然，两分钟后，异常交易触发了币安的自动风控，提币暂停，被黑客控制的31个预存 VIA 币的账户也被冻结。

币安声称：所有资金安全，无任何资金逃离。但是 “仍有部分用户因自己的账号被钓鱼者偷盗，并已把BTC买成VIA或其它币，但由于这些交易对手方不是黑客账号，Binance无法回滚交易。在此再次提醒用户注意保护自己的账户安全。”

简单说：这些被黑客控制设置API进行交易的用户，BTC换VIA，损失惨重，只能自认倒霉。

2018年7月4日凌晨4点，小币种 SYS（Syscoin）的价格被爆拉 320万倍，暴涨到 96 BTC。同一时间，黑客通过其他交易所出货提前埋伏的 VIA，至少获利8000万。凌晨5点，币安交易所出现超大额提现。2小时内，7000多个比特币转入同一地址。 上午8点，币安紧急暂停交易与提现，停机维护。

攻击发生后30分钟，比特币跌去130美元。通常黑客还会提前做好空单，二次获利。

针对这次异常事件，币安后续提出了四点处理方案：包括删除全部API记录、回滚异常交易账户记录、返还手续费、以及成立币安投资者保护基金等等。

然而，单纯删除API记录，只能防止攻击者在短时间内不能进行再次攻击，作用不大。安全专家称：真正有效的方式是：修复生成API过程可绕过2FA验证的漏洞，防止在用户未知的情况下生成API。

2019年5月7日下午5点15分，黑客从币安的热钱包中提取了 7074 个比特币。下午7点左右，币安暂停所有充值和提现服务，进行紧急维护。 币安CEO赵长鹏向用户保证资金安全。

晚11点36分，币安宣布发生了黑客入侵，并确认黑客最终从币安热钱包中裹挟7000多个比特币逃逸。

5月8日下午约12点42分，币安将所有现有的API密钥，限制为“仅交易”。并宣布下午1:30分删除所有现有的 API 密钥。

5月8日下午约1点30分，币安删除了所有现有的 API 密钥。

5月10日，币安公布黑客事件最新进展：将对API、2FA（谷歌二次验证）和提币验证流程，进行重大调整。强化风险管理、用户行为分析以及KYC验证程序等；研究更加创新的防钓鱼措施。

这次入侵，仍然和币安的API密钥泄露、以及网络钓鱼相关。

API 密钥泄露和网络钓鱼是币安这三次黑客攻击的共同主题。

用户的API密钥，是最常被盗的信息，它使黑客能伪装成用户，与交易所进行交互。

通常，交易所平台的API有三个不同级别的权限：

读取：获取有关持仓，交易历史和市场数据的权限

交易?：执行交易的权限

提款?：提取资金的权限

默认情况下，当用户创建一组API密钥时，只会开启读取和交易权限，而提款权限是关闭的。这是因为提款操作有更高的风险，币安会要求用户首先设置双重身份验证和 IP 地址白名单。

SYS 和 VIA 攻击，黑客主要通过“仅限交易”的方式获得 API 密钥，然后通过 API 密钥，黑客操控被盗账户，发起大量买单，爆拉币价，再用提前埋伏好的账户卖币，从而将财富从仅具有交易访问权限的帐户，转移到了具有提款权限的自己的帐户，最后提币。

而7074个 BTC 被盗事件，据币安的官方声明，黑客不仅获取了大量用户 API 密钥，还获取了这些用户的 2FA 码和其他敏感信息。通过窃取的2FA码，黑客可以开启提款权限和禁用IP白名单功能，从而直接提币。

据称，这次直接提币，是因为第三方交易应用程序泄露了用户信息。

API 密钥泄露，不仅对交易所，也可能对个人用户造成重大损失。因此，我们要保护好自己的 API 密钥。

建议采取如下措施：

首先，使用好交易所提供的安全防护手段。短信验证、邮箱验证、2FA谷歌验证码等全部开启。能开的安全机制，统统都打开。这是保证交易所数字资产安全的最基本手段。

第二，预防网站钓鱼：存放数字资产的能够上网的设备（电脑、手机），不乱装APP。不点陌生链接。不随意扫描二维码等等。不在陌生站点泄露自己的用户信息。

第三，最好在 API 密钥设置里，绑定 IP 为你常用的IP（比如家里的 IP ）。

第四，最好关闭“允许提现”。

最后，勤换 API 密钥。定期更换，比如一个月，或者二个月，就删除现有的 API 密钥，重新绑定。

火币网站的 API 90天就强制过期，而OKEX和币安，没有这样的限定，需要手动删除让旧的 API 密钥失效，然后生成新的 API 密钥使用。

希望大家保护好自己交易所网站的 API 密钥，避免酿成大错。

黑客何以一夜撬走近亿美元？技术大拿详解币安API钓鱼事件始末 | 金色独家

《深度分析：币安被黑四千万！》

《黑客攻击币安API完全调查》

《如何创建API》

《钓鱼攻击案例》

《Binance部分用户账号异常事件始末》

「注意」 我是金马，别人离开币圈的时候，正是我深耕的时候。你的熊市，让我陪你度过可好？币圈金马奖，和你一起走币圈这条光明大道。

—-

编译者/作者：币圈金马奖

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。