Безпека API-ключів при автоматичній торгівлі

Права «лише торгівля», IP-білий список, шифрування та гігієна ключів — що налаштувати на біржі й що вимагати від будь-якого сервісу, що просить ваші ключі.

Оновлено: липень 2026

Права: торгівля — так, виведення — ніколи

API-ключі бірж несуть гранулярні права, і автоматичній торгівлі потрібні лише: читання даних акаунта, виставлення та скасування ордерів. Право на виведення не потрібне ніколи — сервіс, що його просить, побудований або недбало, або зловмисно, і в обох випадках правильна відповідь — піти.

Ключ «лише торгівля» обмежує найгірший сценарій: навіть витеклий публічно, він не дозволить вивести кошти з біржі. Залишкове зловживання (маніпулятивна торгівля проти вашого рахунку) реальне, але значно менше — і наступний розділ закриває більшу його частину.

Дозволи API-ключа

Налаштуйте на біржі перед підключенням

  • Читання ринкових даних
    Увімк
  • Розміщення ордерів / Торгівля
    Увімк
  • Виведення коштів
    Ніколи не вмикайте
    Вимк
Білий список IP
Ключі прив'язані до вашого сервера
Шифрування при зберіганні (AES-256)
Розшифрування лише під час торгівлі

IP-білий список: найсильніший замок, який усі пропускають

Кожна велика біржа дозволяє прив'язати API-ключ до конкретних IP-адрес: запити з будь-яких інших відхиляються ще до перевірки підпису. Витеклий ключ із білого списку майже марний — атакувальнику знадобився б ще й контроль над сервером за вашим IP.

Підступ: білому списку потрібна СТАБІЛЬНА адреса, яку сервіси на спільній інфраструктурі чесно запропонувати не можуть. Arbitron видає кожному користувачу виділений сервер із власним статичним IP саме для цього — ключі прив'язані до однієї машини, на якій працює лише ваша торгівля. Який би сервіс ви не обрали, запитайте, з якої адреси йдуть його запити й чи належить вона тільки вам.

Зберігання: питання, на які зобов'язаний відповісти будь-який сервіс

Зламана у 2022 році велика бот-платформа злила ~100 000 API-ключів і спустошила акаунти приблизно на 20 М$ — цей сценарій не гіпотетичний. Перш ніж підключати ключі будь-куди, отримайте відповіді на три питання: як ключі шифруються в спокої, чи існує один майстер-ключ, що розшифровує всіх користувачів одразу, і чи потрапляють ключі в логи або бекапи відкритим текстом.

Відповіді Arbitron, які можна перевірити на нашій сторінці безпеки: шифрування AES-256-GCM, індивідуальний ключ шифрування даних на кожного користувача під захистом AWS KMS (майстер-пароля, що відкриває всіх, не існує), розшифрування лише в момент використання й ніколи — у логах чи аналітиці. Будь-який серйозний сервіс має публікувати еквіваленти.

Гігієна ключів: дешеві звички, що закривають решту

Створюйте ОКРЕМИЙ ключ під кожен сервіс — один ключ на кілька інструментів означає, що злам будь-якого з них спалює всі. Підписуйте ключі за назвою сервісу на біржі, щоб відкликання було одним кліком, і видаляйте ключі покинутих сервісів того ж дня, коли припиняєте ними користуватись.

Нарешті, захистіть акаунт-власник ключів: двофакторна автентифікація і на біржі, І на торговому сервісі — захоплення будь-якого з них обходить усі інші засоби контролю. П'ять хвилин налаштування закривають саме ті шляхи атаки, які трапляються на практиці.

Часті запитання

Чи може Arbitron вивести мої кошти?

Ні. Arbitron потрібні лише права на торгівлю, ніколи — на виведення. Створіть API-ключ з вимкненим виведенням, і в найгіршому разі можливі лише угоди — кошти не зможуть покинути ваш біржовий рахунок через ключ. Arbitron некастодіальний за своєю конструкцією.

Які права повинні бути в API-ключа?

Увімкніть лише торгівлю ф'ючерсами/безстроковими. Залиште виведення вимкненим і не давайте прав на перекази чи переміщення між субакаунтами. Якщо біржа пропонує пресет «читання + торгівля» без виведення — це саме те, що потрібно.

Чи варто вносити IP сервера Arbitron у білий список?

Так — це найнадійніший замок, який найчастіше пропускають. Прив'язка ключа до статичної IP вашого виділеного сервера робить витеклий ключ марним звідусіль інде. Кожен користувач Arbitron отримує виділену статичну IP саме для того, щоб її можна було внести в білий список.

Як зберігаються мої API-ключі?

Зашифровані у стані спокою алгоритмом AES-256 і розшифровуються лише на вашому ізольованому trade worker для виставлення ордерів — ніколи не показуються в інтерфейсі й не пишуться в логи. Будь-який сервіс, який не може відповісти, як він зберігає ваші ключі та чи потрібні йому взагалі права на виведення, їх не заслужив.

Що робити, якщо ключ скомпрометований?

Негайно відкличте його на біржі та випустіть новий — це миттєво робить старий ключ недійсним усюди. Оскільки ключ не має прав на виведення й прив'язаний до IP, радіус ураження і так малий, але ротація закриває його повністю.

Спробуйте Arbitron — спреди на 21 біржах

Сигнали за спредами в реальному часі, автоматичне виконання, повна статистика PnL. Реєстрація безкоштовна, доступ за інвайтом на етапі бета-тесту.

An unhandled error has occurred. Reload X

Reconnecting…

Retrying in s…

Reconnecting…

Session paused

Reloading…