下载币安APP

币安API key泄露了会被偷币吗

2026/4/5 8 分钟
#账户安全

量化交易者、网格机器人用户、跨交易所搬砖玩家,都离不开API key。但API key一旦泄露,会发生什么?先给个结论:如果你只开了"读取"权限且绑定了IP白名单,泄露风险几乎为零;如果开了"提币"权限且没绑IP,资金可能在几分钟内被全部转走。差别在于你怎么配置权限。本文把API key的权限分级、正确配置、IP白名单、定期轮换、泄露后的止损全部讲清。在配置API之前,先通过 币安官网 登录,网页端配置API最直观;日常管理也可以用 币安官方APP;iPhone用户找不到App的看 iOS安装教程 先装好。

API key到底是什么

API(Application Programming Interface)是交易所给程序开的接口,每个API key由两部分组成:

  • API Key:公开部分,相当于账号;
  • Secret Key:私密部分,相当于密码,只在创建时显示一次。

第三方程序(网格机器人、量化策略、数据采集器)拿着这对密钥就可以代表你的账户做操作,无需网页登录。

API key的危险性在于:它可以绕过2FA。创建时走了一次2FA验证,之后程序每次调用不再需要验证。这也是为什么权限配置比配置一个2FA还要谨慎。

币安API的权限分级

币安把API权限拆成了若干档位,按风险从低到高排。

权限 能做什么 默认状态 泄露风险
读取 查询余额、订单、K线 默认开启
现货交易 下单买卖 需启用
杠杆交易 杠杆借贷买卖 需启用 中高
合约交易 开合约仓位 需启用 中高
划转 账户间资金划转 需启用
提币 提币到链上地址 需启用 极高
内部转账 给币安用户转账 需启用 极高

黄金规则:永远只开业务必需的权限,一颗不多。量化策略一般只需要"读取+现货交易",不需要开提币。

最严格的API配置模板

这是推荐配置,几乎适用所有场景。

场景1:只看盘不下单的数据采集

  • 读取:开
  • 其他:全关
  • IP白名单:开(绑你的服务器IP)
  • 有效期:180天后自动过期

场景2:网格机器人/量化交易

  • 读取:开
  • 现货交易:开
  • 合约交易:按需
  • 划转:关(最关键)
  • 提币:绝对关
  • IP白名单:开(绑机器人服务器IP)
  • 有效期:30-90天

场景3:跨交易所搬砖(必须要划转提币的)

  • 读取:开
  • 现货交易:开
  • 提币:开(仅限白名单地址)
  • 提币白名单:只加目标交易所的充币地址
  • IP白名单:开
  • 有效期:7-30天

场景4:查账统计

  • 读取:开
  • 其他:全关
  • IP白名单:开
  • 有效期:30天

IP白名单是API的第二道锁

IP白名单和API权限是乘法关系:没开IP白名单,就算只开了读取权限也可能被滥用(查你的持仓隐私)。

怎么绑定IP白名单

  1. 登录币安 → 账户 → API管理;
  2. 找到对应的API key,点「编辑」;
  3. 「IP访问限制」选「仅信任的IP访问」;
  4. 输入你的服务器公网IP(可以输多个,用英文逗号分隔);
  5. 提交。

怎么查自己的公网IP

  • 服务器上执行 curl ifconfig.mecurl ip.sb
  • 本地浏览器访问 ip.sb 即可看到。

如果IP是动态的怎么办

  • 家宽通常是动态公网IP,每天可能变化;
  • 解决:①租个固定IP的VPS跑机器人;②用DDNS+币安API定期更新白名单;③改用云服务商固定出口IP。

没开IP白名单的API key,泄露后等于裸奔

API key的常见泄露场景

很多人不知道自己的API怎么泄露的,典型泄露路径如下。

场景A:代码提交到GitHub

最常见。把API_KEY和SECRET硬编码在Python脚本里,然后push到公开仓库。GitHub有机器人全天扫描,泄露后几分钟就会被利用。

防范:用环境变量或.env文件存密钥,.gitignore里加上*.env。

场景B:粘贴到第三方工具

不知名的量化平台、交易信号服务要你提交API key做"监控",这种平台大概率会保留密钥。

防范:只用币安官方列出的认证合作伙伴,或知名老牌平台(3Commas、CoinGlass等)。

场景C:电脑中了木马

木马会监控剪贴板和常见配置文件,读取本地密钥。

防范:机器人专用机只运行机器人,不上网、不看视频;运行常见杀毒软件;API定期轮换。

场景D:员工离职带走密钥

团队共用一个API key,员工离职后忘记重置。

防范:每人一把key,离职立刻作废;重要操作走白名单地址。

场景E:云服务器被入侵

服务器弱密码、SSH暴露到公网导致被爆破。

防范:SSH改端口+禁用密码登录+只允许密钥登录;防火墙只开必要端口;定期更新系统补丁。

API key的定期轮换策略

即便现在没泄露,时间久了概率就高。建议按周期轮换。

轮换周期

  • 高频交易:每30天
  • 中频:每60-90天;
  • 低频数据查询:每180天;
  • 一次性调试用:用完立刻删。

轮换步骤

  1. 创建一个新的API key;
  2. 更新机器人或脚本里的配置;
  3. 测试新key能正常工作;
  4. 在币安后台删除旧的API key;
  5. 记录本次轮换时间。

如果API key已经泄露了怎么办

按下面这个checklist操作,越快越好。

紧急处置(5分钟内)

  1. 登录币安 → API管理 → 立刻删除泄露的API
  2. 检查账户持仓是否有异常变动;
  3. 查看资金流水看有没有异常提币/转账;
  4. 冻结账户(如果发现大量异常交易);
  5. 改密码+重置2FA(有些攻击者会用API反推账号信息)。

持续监控(24小时内)

  1. 关注邮箱是否有新的API调用通知;
  2. 每小时检查一次持仓和余额;
  3. 查看GitHub、代码仓库、云存储是否还有密钥泄露源;
  4. 开启币安的登录异地通知;
  5. 如果涉及资金损失,联系客服启动申诉流程。

长期加固(7天内)

  1. 清理所有历史代码仓库里可能泄露的密钥;
  2. 设置GitHub Secret Scanning;
  3. 把所有API用法改成环境变量;
  4. 服务器加固(改SSH端口、上防火墙);
  5. 考虑用硬件密钥做双重验证。

API key泄露后哪些钱最危险

按照被盗概率排序。

  1. 现货余额:如果开了现货交易权限,会被对方挂市价单低价卖出,再用另一账户接盘。俗称"洗单"。
  2. 合约账户:开了合约权限的话,对方会开大杠杆反向开仓,让你爆仓。
  3. 链上资产:如果开了提币权限且没设地址白名单,几分钟提光。
  4. 历史订单隐私:只开读取权限也能被看到持仓、交易记录,影响隐私。
  5. 被当做僵尸账户:加入到攻击者的"刷量"矩阵里,产生大量小额交易。

常见问题

API key能重置Secret吗

不能。Secret只在创建时显示一次,之后再也看不到。如果Secret丢了或泄露,只能删除旧API key重新创建。

API key的权限可以随时修改吗

可以。在API管理里编辑,修改权限、IP白名单即可。修改后需要用2FA验证。

币安API Key有过期时间吗

在高级权限开启后(如提币权限),币安会要求设定有效期,默认最多90天。到期自动失效。普通API key没有硬性过期,但长期不用会被币安定期清理。

同一个账号能创建多少API key

上限通常30个左右。建议一个业务一个key,方便管理和隔离。

子账户的API key和主账户隔离吗

是的,完全隔离。子账户API只能操作子账户资产,访问不到主账户。这也是为什么大资金推荐用子账户跑策略。

API请求的限频规则是什么

现货约每秒1200权重,合约约每秒2400权重。单个IP每分钟约6000请求。量化策略要做好限频处理,否则会触发封禁。详情参考币安API官方文档。

总结

API key的风险完全取决于你的配置,不是取决于它本身。三条金科玉律:①权限最小化(能不开就不开),②IP白名单必开(绑你的服务器IP),③定期轮换(30-90天一换)。加上永远不把Secret提交到代码仓库这条自律,你的API安全等级就能跻身顶部。量化交易者尤其要把API安全看得和资金安全同等重要——它本身就是资金的一把钥匙。现在就打开 币安官网 API管理页面,把所有不用的、超过90天的API全部删掉,给剩下的补上IP白名单。