API 是高级用户做策略 / 自动化的工具,但也是被盗最常见途径。本文给安全配置。下载入口:币安官网,移动端 币安官方APP,iOS 没装 App 看 iOS 安装教程。
一、API key 权限
| 权限 | 默认 | 建议 |
|---|---|---|
| 只读(Read) | 开 | 开 |
| 现货 / 杠杆交易 | 关 | 按需开 |
| 合约交易 | 关 | 按需开 |
| 万向划转 | 关 | 按需开 |
| 提币 | 关 | **永远不要开** |
二、提币权限的危险
API 提币权限一旦开启:
- 拿到 key 即可不需要 2FA 提币
- 没有 24 小时延迟
- 没有白名单限制(除非额外配)
几乎所有大额 API 被盗事件都因为开了提币权限。除非你有极强信心 + 物理隔离的服务器,否则永远不开。
三、IP 白名单
API key 可绑定特定 IP:
- 你的服务器 IP
- 你家网关公网 IP
绑定后只有这些 IP 来的请求被接受。即使 key 泄露,攻击者从其它 IP 也用不了。
设置
API 管理 → 编辑 key → IP 白名单 → 添加 IP(可多个)。
限制
家庭网络 IP 偶尔变(动态)。商业 VPS 用静态 IP 更稳。
四、密钥保存
API 创建后看到的 secret 只显示一次。保存:
推荐
- 1Password / Bitwarden 等密码管理器
- 加密笔记
- 服务器 .env 文件(权限 600)
禁忌
- 提交到 GitHub / GitLab
- 邮件发给自己
- Slack / 微信发给团队
- 截图存云
- 写在代码注释里
五、API 被盗信号
定期检查 API 管理页:
- 是否有你没创建的 key
- 现有 key 权限是否被改(特别是提币)
- IP 白名单是否被改
- 最近调用时间
任一异常立即删 key。
六、定期轮换
频率
- 高风险(量化交易):每月一次
- 普通策略:每季度
- 仅只读监控:半年
流程
- 创建新 key
- 更新策略代码
- 测试新 key 工作
- 删除旧 key
- 不要长期保留多个相同用途 key
七、API 被盗应急
如果发现 key 异常:
立即
- 登录 binance.com → API 管理
- 删除所有 key(一键删全部)
- 改 binance 密码
- 重置 2FA(攻击者可能也拿到了)
接着
- 检查交易历史 / 提币历史
- 提交"API 被盗"工单
- 杀毒扫描所有保存过 key 的设备
- 排查泄露源(GitHub 公开?同事电脑?)
长期
- 重新生成 key 时启用所有保护(IP 白名单、限权限)
- 不再开提币权限
八、API 与 2FA 的关系
API 调用本身不需要 2FA——这是 API 的便利性。但:
- 创建 / 删除 key 需要 2FA
- 修改 key 权限需要 2FA
- 修改 IP 白名单需要 2FA
所以 2FA 强 = API 创建受保护 = 攻击者不易直接创建恶意 key。
九、第三方平台连 API 注意
某些跟单 / 套利平台让你提供 API key:
评估
- 平台是否合规
- 是否要求提币权限(要 → 拒绝)
- 是否锁定 IP(不锁 → 警惕)
推荐
- 只给"只读 + 交易"权限
- 锁 IP 到平台公开 IP
- 隔月检查 key 状态
FAQ
Q1:API key 多久过期? 没有自动过期。需要手动删除或轮换。
Q2:删除 key 后正在跑的策略会怎样? 立刻断连。其它请求返回认证错误。
Q3:能限定每天最大交易额吗? 币安 API 有内置 rate limit,但用户层面不能设"日限"。需在策略代码里自实现。
Q4:为什么我看到一些 key 一直在用但我不记得创建? 立刻删,按被盗处理。