API güvenlik kontrol listesi

Birinci kural · diğer tüm ayarlardan önce

API Key oluştururken yalnızca «İşlem»i işaretle, «Çekim»i asla.

Kuantitatif betik yalnızca emir vermeye ve sorgulamaya ihtiyaç duyar — çekime hiç dokunmaz. Key'in çekim yetkisi olmadığı sürece, apiKey, Secret ve Passphrase üçlüsü bir gün hep birden sızsa bile, onları ele geçiren kişi en fazla hesabında rastgele emir verir (zaten kötü), ama coin'lerini dışarı çıkaramaz. Çekimi işaretlersen sızıntı, kasanın anahtarını teslim etmek gibidir. Bunu yapmazsan aşağıdaki her şey boşa gider.

Tamamlanma 0/7

Henüz hiçbir şey işaretlenmedi. «Birinci kural»daki yetkiyle başla.

Yetkiler ve erişim kapsamı

En az yetki: yalnızca «İşlem»i aç, «Çekim»i asla OKX'te API Key oluştururken yalnızca «Okuma» ve «İşlem»i işaretle, «Çekim / Transfer»i tamamen kapat. Hırsızlık riskini düşürmenin en etkili tek yolu budur: çekim yetkisi yoksa sızan bir key bile paranı kımıldatamaz. Kritik

IP beyaz listesi bağla, yalnızca sunucu / ev IP'ne izin ver Key'i betiğin çalıştığı makinenin sabit IP'sine bağla ve yalnızca ondan gelen isteği kabul et. Key sızsa bile başka makine onu kullanamaz. IP'n çok değişiyorsa önce kimlik bilgilerini iyi sakla, sabitlenince beyaz listeyi en kısa sürede ekle. Kritik

Hesap ve anahtar yalıtımı

Botu alt hesapta çalıştır, ana hesabın parasını yalıt OKX'te yalnızca betik için özel bir alt hesap aç ve içine sadece bu kuantitatif sermayeyi koy. Betik hata yaparsa ya da bir key tehlikeye girerse yalnızca alt hesaptaki o küçük para yanar; ana büyük pozisyonun etkilenmez.

apiKey + Secret + Passphrase üçlüsünü düzgün sakla Secret ve Passphrase oluşturulurken yalnızca bir kez gösterilir. Onları ekran görüntüsüyle yükleme, sohbet penceresine yapıştırma ve kesinlikle kodun içine açık metin yazma ya da Git'e gönderme. Ortam değişkeni ya da senkronlanmayan yerel bir yapılandırma dosyası kullan — üçünden herhangi birinin sızması tehlikelidir.

Uzun vadeli bakım ve dolandırıcılık savunması

Düzenli rotasyon yap, kullanmadığın Key'leri sil Her Key potansiyel bir açıktır. Belli aralıklarla değiştir; eskileri, geçici test için açılanları ve artık çalışmayanları sil. Amacını çoktan unuttuğun bir yığın Key, kendine gömdüğün bir mayındır.

«Vekâleten yönetim / botu senin için kurarım» dolandırıcılığına dikkat Sana tam yetkili API'yi (özellikle çekim dahil) teslim ettirmeye çalışan ya da «senin için kurayım», «seni sırtlayıp kazandırırım» diye Secret/Passphrase'ini isteyen herkes neredeyse kesin dolandırıcıdır. Düzgün kuantitatif yalnızca en az yetkili bir Key'i kendin yerel olarak çalıştırmanı gerektirir, istisnasız. Kritik

Hesapta 2FA'yı aç, kimlik avı önleme kodunu ayarla Bu, API'nin altındaki hesap düzeyindeki temeldir. İki adımlı doğrulamayı (2FA) aç ve OKX'te kimlik avı önleme kodunu ayarla; böylece oltalama e-postaları ve sahte siteler seni kandırmakta daha çok zorlanır. Hesabın kendisi ele geçirilirse en dikkatli API ayarı bile kurtaramaz. Temel

Açıklama: bunlar hırsızlık ve yanlış işlem riskini gerçekten düşüren somut önlemlerdir, mutlak güvenlik garantisi değil. Yedi maddenin hepsini işaretlemek yalnızca, API açıp kuantitatif çalıştırmadan önce olması gereken asgari güvenlik eşiğini geçtiğin anlamına gelir. Bu liste yalnızca bilgilendirme amaçlıdır ve hiçbir biçimde yatırım tavsiyesi değildir. Kripto varlık fiyatları sert dalgalanır, kuantitatif ve otomatik işlem kâr garanti etmez, bu yüzden yalnızca kaybetmeyi göze alabileceğin parayı kullan.

Her maddenin tam olarak nasıl ve neden ayarlandığını görmek için şu ikisini oku: OKX API risk yönetimi uygulaması · OKX API kuantitatife giriş

Bu liste hakkında: neden bu yedi madde

API ile kuantitatif çalıştırmak, hesabının işlem yetkisinin bir kısmını bir betiğe ve bir çift anahtara devretmek demektir. Giriş parolasından farklı olarak API kimlik bilgileri bir programın kullanması için yapılmıştır, yani sızma yolu daha fazladır — loglar, ekran görüntüleri, yanlışlıkla herkese açık bir depoya gönderim. Bu yüzden Key oluşturma adımındaki güvenlik ayarı, çoğu zaman stratejinin kendisinden daha çok zamanına değer, çünkü «en kötü durumun ne kadar kötü olabileceğini» belirler.

Yedi maddenin gerçek alt sınırı «Kritik» etiketli olanlardır. «Sadece işlem, çekim yok» birinci kuraldır: kuantitatif hiçbir aşamada çekime ihtiyaç duymaz, kapat ve sızan bir key bile paranı kımıldatamaz. «IP beyaz listesi» key'i betiğin çalıştığı tek IP'ye kilitler. «Vekâleten yönetim dolandırıcılığına dikkat» ise farklı bir risk sınıfıdır — teknik bir açık değil, birinin seni doğrudan kandırıp tam yetkili bir key'i teslim ettirmesi, ve bu sınıfın yol açtığı zarar çoğu zaman en ağırıdır. Bunlardan herhangi biri yapılmazsa risk düzeyi tamamen değişir.

Kalanlar açığı daha da daraltır: parayı alt hesapta yalıt, üçlü kimlik bilgisini düzgün sakla ve koddan uzak tut, eski Key'leri düzenli rotasyona sok ve sil, hesap düzeyinde 2FA ile kimlik avı önleme kodunu aç. Hepsini işaretlemek yalnızca temel güvenlik alt sınırını geçtiğin anlamına gelir — mutlak güvenlik değil; ama herhangi birinin eksik olması gerçek bir açıktır. Bu araç işaretlerini toplamaz — tamamen tarayıcında sayılır ve sayfayı kapatınca sıfırlanır.

API güvenlik kontrol listesi

Yetkiler ve erişim kapsamı

Hesap ve anahtar yalıtımı

Uzun vadeli bakım ve dolandırıcılık savunması

Listeyi bitirdin mi? Git, temiz bir Key oluştur