Права: торговля — да, вывод — никогда
API-ключи бирж несут гранулярные права, и автоматической торговле нужны только: чтение данных аккаунта, выставление и отмена ордеров. Право на вывод не требуется никогда — сервис, который его просит, построен либо небрежно, либо злонамеренно, и в обоих случаях правильный ответ — уйти.
Ключ «только торговля» ограничивает худший сценарий: даже утёкший публично, он не позволит вывести средства с биржи. Оставшееся злоупотребление (манипулятивная торговля против вашего счёта) реально, но многократно меньше — и следующий раздел закрывает большую его часть.
IP-белый список: сильнейший замок, который все пропускают
Каждая крупная биржа позволяет привязать API-ключ к конкретным IP-адресам: запросы с любых других отклоняются ещё до проверки подписи. Утёкший ключ из белого списка почти бесполезен — атакующему понадобился бы ещё и контроль над сервером за вашим IP.
Подвох: белому списку нужен СТАБИЛЬНЫЙ адрес, который сервисы на общей инфраструктуре честно предложить не могут. Arbitron выдаёт каждому пользователю выделенный сервер с собственным статическим IP именно для этого — ключи привязаны к одной машине, на которой работает только ваша торговля. Какой бы сервис вы ни выбрали, спросите, с какого адреса идут его запросы и принадлежит ли он только вам.
Хранение: вопросы, на которые обязан ответить любой сервис
Взлом крупной бот-платформы в 2022 году слил ~100,000 API-ключей и опустошил аккаунты примерно на $20M — этот сценарий не гипотетический. Прежде чем подключать ключи куда-либо, получите ответы на три вопроса: как ключи шифруются в покое, существует ли один мастер-ключ, расшифровывающий всех пользователей сразу, и попадают ли ключи в логи или бэкапы открытым текстом.
Ответы Arbitron, проверяемые на нашей странице безопасности: шифрование AES-256-GCM, индивидуальный ключ шифрования на пользователя под защитой AWS KMS (мастер-пароля, открывающего всех, не существует), расшифровка только в момент использования и никогда — в логах или аналитике. Серьёзный сервис обязан публиковать эквиваленты.
Гигиена ключей: дешёвые привычки, закрывающие остальное
Создавайте ОТДЕЛЬНЫЙ ключ под каждый сервис — один ключ на несколько инструментов означает, что взлом любого из них сжигает все. Подписывайте ключи по имени сервиса на бирже, чтобы отзыв был одним кликом, и удаляйте ключи брошенных сервисов в тот же день.
Наконец, защитите аккаунт-владельца ключей: двухфакторная аутентификация и на бирже, И на торговом сервисе — захват любого из них обходит все остальные контроли. Пять минут настройки закрывают именно те пути атаки, которые случаются на практике.