下載幣安APP

幣安API key洩露了會被偷幣嗎

2026/4/5 8 分鐘
#帳戶安全

量化交易者、網格機器人使用者、跨交易所搬磚玩家,都離不開API key。但API key一旦洩露,會發生什麼?先給個結論:如果你只開了"讀取"許可權且繫結了IP白名單,洩露風險幾乎為零;如果開了"提幣"許可權且沒綁IP,資金可能在幾分鐘內被全部轉走。差別在於你怎麼配置許可權。本文把API key的許可權分級、正確配置、IP白名單、定期輪換、洩露後的止損全部講清。在配置API之前,先透過 幣安官網 登入,網頁端配置API最直觀;日常管理也可以用 幣安官方APP;iPhone使用者找不到App的看 iOS安裝教程 先裝好。

API key到底是什麼

API(Application Programming Interface)是交易所給程式開的介面,每個API key由兩部分組成:

  • API Key:公開部分,相當於賬號;
  • Secret Key:私密部分,相當於密碼,只在建立時顯示一次。

第三方程式(網格機器人、量化策略、資料採集器)拿著這對金鑰就可以代表你的帳戶做操作,無需網頁登入。

API key的危險性在於:它可以繞過2FA。建立時走了一次2FA驗證,之後程式每次呼叫不再需要驗證。這也是為什麼許可權配置比配置一個2FA還要謹慎。

幣安API的許可權分級

幣安把API許可權拆成了若干檔位,按風險從低到高排。

許可權 能做什麼 預設狀態 洩露風險
讀取 查詢餘額、訂單、K線 預設開啟
現貨交易 下單買賣 需啟用
槓桿交易 槓桿借貸買賣 需啟用 中高
合約交易 開合約倉位 需啟用 中高
劃轉 帳戶間資金劃轉 需啟用
提幣 提幣到鏈上地址 需啟用 極高
內部轉賬 給幣安使用者轉賬 需啟用 極高

黃金規則:永遠只開業務必需的許可權,一顆不多。量化策略一般只需要"讀取+現貨交易",不需要開提幣。

最嚴格的API配置模板

這是推薦配置,幾乎適用所有場景。

場景1:只看盤不下單的資料採集

  • 讀取:開
  • 其他:全關
  • IP白名單:開(綁你的伺服器IP)
  • 有效期:180天后自動過期

場景2:網格機器人/量化交易

  • 讀取:開
  • 現貨交易:開
  • 合約交易:按需
  • 劃轉:關(最關鍵)
  • 提幣:絕對關
  • IP白名單:開(綁機器人伺服器IP)
  • 有效期:30-90天

場景3:跨交易所搬磚(必須要劃轉提幣的)

  • 讀取:開
  • 現貨交易:開
  • 提幣:開(僅限白名單地址)
  • 提幣白名單:只加目標交易所的充幣地址
  • IP白名單:開
  • 有效期:7-30天

場景4:查賬統計

  • 讀取:開
  • 其他:全關
  • IP白名單:開
  • 有效期:30天

IP白名單是API的第二道鎖

IP白名單和API許可權是乘法關係:沒開IP白名單,就算只開了讀取許可權也可能被濫用(查你的持倉隱私)。

怎麼繫結IP白名單

  1. 登入幣安 → 帳戶 → API管理;
  2. 找到對應的API key,點「編輯」;
  3. 「IP訪問限制」選「僅信任的IP訪問」;
  4. 輸入你的伺服器公網IP(可以輸多個,用英文逗號分隔);
  5. 提交。

怎麼查自己的公網IP

  • 伺服器上執行 curl ifconfig.mecurl ip.sb
  • 本地瀏覽器訪問 ip.sb 即可看到。

如果IP是動態的怎麼辦

  • 家寬通常是動態公網IP,每天可能變化;
  • 解決:①租個固定IP的VPS跑機器人;②用DDNS+幣安API定期更新白名單;③改用雲服務商固定出口IP。

沒開IP白名單的API key,洩露後等於裸奔

API key的常見洩露場景

很多人不知道自己的API怎麼洩露的,典型洩露路徑如下。

場景A:程式碼提交到GitHub

最常見。把API_KEY和SECRET硬編碼在Python指令碼里,然後push到公開倉庫。GitHub有機器人全天掃描,洩露後幾分鐘就會被利用。

防範:用環境變數或.env檔案存金鑰,.gitignore里加上*.env。

場景B:貼上到第三方工具

不知名的量化平臺、交易訊號服務要你提交API key做"監控",這種平臺大機率會保留金鑰。

防範:只用幣安官方列出的認證合作伙伴,或知名老牌平臺(3Commas、CoinGlass等)。

場景C:電腦中了木馬

木馬會監控剪貼簿和常見配置檔案,讀取本地金鑰。

防範:機器人專用機只執行機器人,不上網、不看影片;執行常見防毒軟體;API定期輪換。

場景D:員工離職帶走金鑰

團隊共用一個API key,員工離職後忘記重置。

防範:每人一把key,離職立刻作廢;重要操作走白名單地址。

場景E:雲伺服器被入侵

伺服器弱密碼、SSH暴露到公網導致被爆破。

防範:SSH改埠+禁用密碼登入+只允許金鑰登入;防火牆只開必要埠;定期更新系統補丁。

API key的定期輪換策略

即便現在沒洩露,時間久了機率就高。建議按週期輪換。

輪換週期

  • 高頻交易:每30天
  • 中頻:每60-90天;
  • 低頻資料查詢:每180天;
  • 一次性除錯用:用完立刻刪。

輪換步驟

  1. 建立一個新的API key;
  2. 更新機器人或指令碼里的配置;
  3. 測試新key能正常工作;
  4. 在幣安後臺刪除舊的API key;
  5. 記錄本次輪換時間。

如果API key已經洩露了怎麼辦

按下面這個checklist操作,越快越好。

緊急處置(5分鐘內)

  1. 登入幣安 → API管理 → 立刻刪除洩露的API
  2. 檢查帳戶持倉是否有異常變動;
  3. 檢視資金流水看有沒有異常提幣/轉賬;
  4. 凍結帳戶(如果發現大量異常交易);
  5. 改密碼+重置2FA(有些攻擊者會用API反推賬號資訊)。

持續監控(24小時內)

  1. 關注郵箱是否有新的API呼叫通知;
  2. 每小時檢查一次持倉和餘額;
  3. 檢視GitHub、程式碼倉庫、雲端儲存是否還有金鑰洩露源;
  4. 開啟幣安的登入異地通知;
  5. 如果涉及資金損失,聯絡客服啟動申訴流程。

長期加固(7天內)

  1. 清理所有歷史程式碼倉庫裡可能洩露的金鑰;
  2. 設定GitHub Secret Scanning;
  3. 把所有API用法改成環境變數;
  4. 伺服器加固(改SSH埠、上防火牆);
  5. 考慮用硬體金鑰做雙重驗證。

API key洩露後哪些錢最危險

按照被盜機率排序。

  1. 現貨餘額:如果開了現貨交易許可權,會被對方掛市價單低價賣出,再用另一帳戶接盤。俗稱"洗單"。
  2. 合約帳戶:開了合約許可權的話,對方會開大槓桿反向開倉,讓你爆倉。
  3. 鏈上資產:如果開了提幣許可權且沒設地址白名單,幾分鐘提光。
  4. 歷史訂單隱私:只開讀取許可權也能被看到持倉、交易記錄,影響隱私。
  5. 被當做殭屍帳戶:加入到攻擊者的"刷量"矩陣裡,產生大量小額交易。

常見問題

API key能重置Secret嗎

不能。Secret只在建立時顯示一次,之後再也看不到。如果Secret丟了或洩露,只能刪除舊API key重新建立。

API key的許可權可以隨時修改嗎

可以。在API管理裡編輯,修改許可權、IP白名單即可。修改後需要用2FA驗證。

幣安API Key有過期時間嗎

在高階許可權開啟後(如提幣許可權),幣安會要求設定有效期,預設最多90天。到期自動失效。普通API key沒有硬性過期,但長期不用會被幣安定期清理。

同一個賬號能建立多少API key

上限通常30個左右。建議一個業務一個key,方便管理和隔離。

子帳戶的API key和主帳戶隔離嗎

是的,完全隔離。子帳戶API只能操作子帳戶資產,訪問不到主帳戶。這也是為什麼大資金推薦用子帳戶跑策略。

API請求的限頻規則是什麼

現貨約每秒1200權重,合約約每秒2400權重。單個IP每分鐘約6000請求。量化策略要做好限頻處理,否則會觸發封禁。詳情參考幣安API官方文件。

總結

API key的風險完全取決於你的配置,不是取決於它本身。三條金科玉律:①許可權最小化(能不開就不開),②IP白名單必開(綁你的伺服器IP),③定期輪換(30-90天一換)。加上永遠不把Secret提交到程式碼倉庫這條自律,你的API安全等級就能躋身頂部。量化交易者尤其要把API安全看得和資金安全同等重要——它本身就是資金的一把鑰匙。現在就開啟 幣安官網 API管理頁面,把所有不用的、超過90天的API全部刪掉,給剩下的補上IP白名單。