Ce qu'Arbitron fait avec vos clés
Arbitron trade via des comptes d'exchange que vous possédez déjà — les fonds ne quittent jamais votre exchange. Pour passer des ordres en votre nom, votre serveur de trading dédié a besoin de clés API : des identifiants émis par chaque exchange qui accordent un accès programmatique à votre compte. Les clés sont stockées chiffrées en AES-256 et ne sont déchiffrées que pour votre propre serveur de trading, jamais réaffichées dans l'interface.
Le principe des permissions n'est pas négociable : une clé a besoin de la lecture (soldes, positions, ordres) et du trading de futures (passer et annuler des ordres) — et rien d'autre. N'activez jamais les permissions de retrait ou de transfert interne. Arbitron n'a absolument aucun chemin de code de retrait, et une clé limitée au trading signifie que même dans le pire des cas personne ne peut déplacer vos fonds avec.
Chaque entrée de clé porte aussi deux paramètres de trading. Le Taker Fee % doit être réglé sur votre véritable palier de frais sur cet exchange (niveau VIP, réductions token) — les estimations de profit à travers la plateforme utilisent ce chiffre, donc un frais inexact fausse chaque signal. Le Default Leverage, lorsqu'il est défini, remplace votre préférence de levier globale pour les cartes sur cet exchange.
Connexion en 3 étapes
Clés API trade-only, chiffrées sur le serveur
- 1Créez une clé APISur la page API de l'échange
- 2Définissez les autorisationsLecture + trading activés, retrait désactivéLecture Trading Retrait
- 3Collez dans ArbitronClé et secret, stockés chiffrésChiffré AES-256
Créer une clé sur l'exchange
Chaque exchange a une page de gestion des API — le formulaire de clé dans Arbitron y renvoie directement. Créez une nouvelle clé, activez les permissions de lecture et de trading de futures, laissez les retraits désactivés, et collez la clé et le secret dans Arbitron. Donnez à la clé un libellé que vous reconnaîtrez dans un an (par ex. « Bybit principal »).
Plusieurs exchanges ajoutent un troisième identifiant — une passphrase que vous définissez à la création de la clé : OKX, Bitget, KuCoin, BloFin, BitMart (appelée « Memo » là-bas), Poloniex et WEEX. Elle doit correspondre exactement à ce que vous avez saisi sur l'exchange ; une passphrase erronée est de loin la cause la plus fréquente d'échec d'un test de clé.
MEXC est un cas particulier : outre la clé API et le secret, Arbitron demande un Web Token (le cookie u_id de votre session de navigateur MEXC connectée). L'API futures publique de MEXC n'expose pas le passage d'ordres, donc le web token est requis pour trader. Il expire lorsque vous vous déconnectez de cette session de navigateur — gardez la session active ou rafraîchissez le token quand le test de clé commence à échouer.
Whitelisting d'IP
Votre abonnement inclut un serveur de trading dédié avec sa propre adresse IP statique, affichée en haut de la page Clés API. Lorsque l'exchange propose une restriction d'IP pour les clés API (la plupart le font), ajoutez cette IP à la whitelist de la clé.
Le whitelisting est l'amélioration de sécurité la moins chère disponible : une clé compromise devient inutile pour un attaquant car elle ne fonctionne que depuis l'adresse de votre serveur. Certains exchanges exigent même une IP liée avant d'activer les permissions de trading, ou prolongent l'expiration de la clé lorsqu'une IP est définie. Comme l'IP n'appartient qu'à vous et ne change jamais, vous la configurez une seule fois par clé.
Connecter les DEX
Trois exchanges pris en charge sont des exchanges décentralisés où l'authentification fonctionne par signatures de portefeuille plutôt que par clés API émises par l'exchange : Hyperliquid, Aster et Lighter. Le formulaire s'adapte automatiquement — les libellés des champs passent à la terminologie de portefeuille.
Hyperliquid : saisissez votre adresse de portefeuille plus la clé privée d'un API wallet — une clé séparée limitée au trading que vous générez dans l'application Hyperliquid. L'API wallet peut signer des ordres mais ne peut jamais retirer de fonds, donc la clé privée de votre portefeuille principal n'est jamais partagée avec quiconque.
Aster utilise la signature EVM EIP-712 : vous fournissez l'adresse de votre portefeuille principal, plus une adresse de portefeuille signataire et la clé privée du signataire, créées via l'API Pro d'Aster. Le trading est autorisé par le signataire ; les clés de votre portefeuille principal restent chez vous.
Lighter : adresse de portefeuille, clé privée et un API Key Index — un emplacement numérique (3–254) identifiant laquelle des clés API du compte utiliser. Arbitron résout automatiquement le reste de la configuration du compte lorsque vous testez la clé.
Test et dépannage
Le bouton Test envoie les identifiants à votre serveur de trading, qui effectue un véritable appel authentifié vers l'exchange — le même chemin de code que le trading en direct. Une coche verte signifie que l'exchange a accepté la signature et que les permissions sont suffisantes. Sur Binance, le test détecte en plus si le compte fonctionne en mode Portfolio Margin et configure le routage des ordres en conséquence.
Quand un test échoue, le message d'erreur propre à l'exchange est affiché. Les suspects habituels, par ordre de fréquence : une faute de copier-coller ou un espace en trop ; une passphrase erronée ou manquante ; le trading de futures non activé sur la clé ; la whitelist d'IP de la clé n'incluant pas encore l'IP de votre serveur ; ou une clé fraîchement créée que l'exchange n'a pas encore activée (attendez une minute et réessayez).
La rotation d'une clé est une routine : créez la nouvelle clé sur l'exchange, mettez à jour l'entrée dans Arbitron, retestez. Si une clé meurt pendant que des cartes tournent (expirée, révoquée, whitelist modifiée), les cartes concernées passent à l'état Erreur et arrêtent de trader — vous recevrez une notification Telegram, et la carte pourra être reprise une fois la clé de nouveau fonctionnelle.