1675865810655.png

1. Что такое API ключ
2. Как действуют мошенники?
3. Способы защиты

API ключ — это уникальный идентификатор, который используется для аутентификации запросов, связанных с вашим проектом. В случае с крипто-биржей API представляет собой некоторое разрешение, которое выдается от имени вашего биржевого аккаунта. Это разрешение включает в себя набор функций, которые будут доступны тому приложению или сервису, который использует этот API ключ.

Если проводить аналогию, то API-ключ можно сравнить с доверенностью. Вы выписываете доверенность на конкретного человека и далее, этот человек может представлять ваши интересы в какой-то организации.
Если у вас возникают какие-то вопросы или вы хотите лично пообщаться с автором — присоединяйтесь к нам в Telegram и на YouTube, где выходят видео версии моих статей.

API ключ вашего биржевого аккаунта содержит в себе информацию: чей это биржевой аккаунт (уникальный идентификатор) и набор инструкций на операции по вашему счету (открытие/закрытие сделок, вывод средств или только чтение информации). Таким образом, проходит коммуникация между сервисом и биржей.

Рассмотрим на примере биржи OKX и сервиса 3Commas
Вы, на бирже OKX генерируете API-ключ, который, к примеру, позволяет открывать сделки. Далее, даете доступ к этому ключу стороннему приложению — площадке 3Commas. Когда 3Commas захочет открыть сделку от вашего лица — они предоставляют этот API ключ OKX. Биржа проверяет, содержит ли этот API ключ разрешение на открытие сделок. Если эта функция прописана в ключе, то 3Commas получает возможность торговать от лица вашего аккаунта. Соответственно, если в ключе прописана только функция чтения, то OKX отклонит запрос на торговлю, так как в самом ключе недостаточно разрешений.

2. Как действуют мошенники?

Когда мошенники получают доступ к API ключам пользователей (обычно это сразу множество аккаунтов), они, как правило, не выводят средства напрямую с кошелька. Дело в том, что функционал к которому они получают доступ через API-ключ ограничен. Таким образом, биржа старается обезопасить пользователей. Несмотря на это, мошенники нашли вполне эффективный способ использования ваших и преумножения своих средств внутри биржи.


Первым делом, мошенники находят низко-ликвидную монету, которая торгуется на этой бирже и начинают постепенно скупать ее, накапливая позицию по какой-то фиксированной цене. Далее, используя множество API-ключей, они начинают скупать эту монету за счет средств с украденных кошельков пользователей. Это приводит к тому, что курс монеты сильно возрастает, подключаются другие пользователи и в удобный момент, мошенники фиксируют свою прибыль, сливая купленные ранее монеты по искусственно завышенной цене.

3. Способы защиты

Первый способ, не самый надежный, но все же применимый — постоянная замена ключей. Когда ключ сливается с сервиса, то он не сразу уходит в оборот мошенников. Есть некоторая задержка и если вы удачно попадете в нужный промежуток времени, то даже если ваш ключ украли, им не смогут воспользоваться. Используем его, как дополнительное средство.

Второй способ — присвоение API ключу определенного IP адреса. Данный метод считается наиболее надежным для защиты вашего аккаунта. Помимо API ключа, стороннему пользователю или сервису понадобится определенный IP адрес, только тогда биржа одобрит запрос и он получит доступ к тем функциям, которые заложены в API ключе.

Вы можете назначить API-ключ на один из IP-адресов 3Commas для дополнительной безопасности. В случае взлома сервиса, злоумышленникам потребуется использовать определенный ключ с определенного IP-адреса.
1675865450625.png


✅ 3Commas — https://cutt. ly/30LD47U (скидка 10% на первую подписку)


Недавно на 3Commas вышла целая статья, некий чек-лист, который необходимо выполнить, для максимальной защиты ваших API-ключей. Возможность присвоить определенный IP к API-ключу называется в данном случае “IP whitelisting”. На фото представленном выше вы найдете список крипто-бирж на которых реализована данная функция. Список регулярно обновляется, так что не забудьте проверить актуальность.

Здесь — вы найдете список IP адресов и небольшую инструкцию, для каждой отдельной биржи.

1675865330219.png

Как видно на примере с OKX, сервис 3Commas уже интегрирован в биржу. Соответственно, вам не нужно вручную вводить IP-адреса. Достаточно перейти на сайт и выбрать пункт "привязка сторонних приложений". Далее, выберите сервис 3Commas и поставьте галочку на пункте "Торговля”.
1675865389075.png


Таким образом, через ваш API-ключ будут доступны только функции чтения и торговли (опционально). Через него нельзя производить вывод средств и в нем уже будет “зашит” IP-адрес 3Commas.
На данный момент — это самый надежный способ обезопасить ваши средства, если вы активно взаимодействуете со сторонними приложениями, предоставляя им доступ через ваш API-ключ.
Безусловно, универсальной защиты нет, но используя предложенный способ, вы значительно увеличиваете шансы сохранить ваши средства от рук злоумышленников.
Если статья была полезна - ставьте отметку и пишите комментарий.