Чек-лист безпеки API: перед підключенням бота

Головне правило · перед усіма іншими налаштуваннями

Створюючи API Key, познач лише «Торгівля», ніколи «Виведення».

Квант-скрипту потрібно лише виставляти ордери й надсилати запити — виведення він не торкається взагалі. Поки ключ не має права на виведення, навіть якщо твоя трійка apiKey, Secret і Passphrase колись витече вся одразу, той, хто її отримає, зможе максимум безладно виставляти ордери в твоєму рахунку (вже погано), але не зможе вивести твої монети. Познач виведення — і витік стане наче передача ключів від сейфа. Не зробиш цього — усе інше нижче марно.

Прогрес виконання 0/7

Ще нічого не позначено. Почни з права з «головного правила».

Права й обсяг доступу

Мінімум прав: увімкни лише «Торгівля», ніколи «Виведення» Створюючи API Key на OKX, познач лише «Читання» й «Торгівля», а «Виведення / Переказ» вимкни повністю. Це найдієвіше, що можна зробити для зниження ризику крадіжки: без права на виведення витік ключа все одно не зрушить твої гроші. Критично

Прив'яжи білий список IP, дозволь лише свій сервер / домашній IP Прив'яжи ключ до сталого IP машини, на якій працює скрипт, і приймай запити лише від неї. Навіть якщо ключ витече, інша машина не зможе ним скористатися. Якщо твій IP часто змінюється, спершу добре бережи облікові дані, а коли він стане сталим — якнайшвидше додай білий список. Критично

Ізоляція рахунку й ключа

Запускай бота в субрахунку, ізолюй кошти головного рахунку Відкрий на OKX окремий субрахунок саме для скрипта й клади в нього лише цю частку квант-капіталу. Якщо скрипт помилиться чи ключ буде скомпрометовано, згорить лише та невелика сума в субрахунку — твоя основна велика позиція не постраждає.

Належно зберігай трійку apiKey + Secret + Passphrase Secret і Passphrase показуються лише один раз під час створення. Не роби скриншот і не завантажуй їх, не вставляй у вікно чату й тим паче не пиши відкритим текстом у коді та не комітай у Git. Використовуй змінні середовища або локальний конфіг-файл, який не синхронізується — витік будь-якого з трьох небезпечний.

Довготривале обслуговування й захист від шахраїв

Роби регулярну ротацію, видаляй ключі, якими більше не користуєшся Кожен ключ — потенційна вразливість. Час від часу заміняй їх, а старі, відкриті для тимчасового тесту й більше не задіяні — видаляй. Купа ключів, призначення яких ти давно забув, — це міна, яку ти сам собі закопав.

Стережися шахрайства «керування рахунком / налаштую бота за тебе» Будь-хто, хто просить передати йому API з усіма правами (особливо з виведенням) або вимагає твій Secret/Passphrase, щоб «налаштувати за тебе» чи «провести до легкого прибутку», майже напевно шахрай. Чесний квант лише вимагає, щоб ти сам локально запускав ключ із мінімальними правами — без винятків. Критично

Увімкни 2FA на рахунку, встанови антифішинговий код Це основа рівня рахунку під API. Увімкни двофакторну автентифікацію (2FA) і встанови на OKX антифішинговий код, щоб фішингові листи й фейкові сайти важче тебе обманули. Якщо зламано сам рахунок, навіть найобережніше налаштування API його не врятує. Основа

Пояснення: це реальні заходи, які справді знижують ризик крадіжки й помилкових дій, а не гарантія абсолютної безпеки. Позначити всі сім пунктів означає лише, що ти подолав мінімальний поріг безпеки, який має бути перед відкриттям API для запуску кванту. Цей чек-лист подано лише для інформаційного ознайомлення й він не є жодною інвестиційною порадою. Ціни на криптоактиви різко коливаються, квант та автоматична торгівля не гарантують прибутку, тож використовуй лише ті кошти, які можеш дозволити собі втратити.

Хочеш побачити, як саме й чому налаштовувати кожен пункт — прочитай ці дві статті: Практика ризик-менеджменту OKX API · Квант на OKX API з нуля

Про цей чек-лист: чому саме ці сім пунктів

Запускати квант через API — це передати частину керування рахунком шматку скрипта й парі ключів. На відміну від пароля для входу, облікові дані API створені для використання програмою, тож шляхів витоку в них більше — логи, скриншоти, випадковий пуш у публічний репозиторій. Тому налаштування безпеки на етапі створення ключа часто варте твого часу більше, ніж сама стратегія, бо саме воно визначає, «наскільки поганим може бути найгірший сценарій».

Із семи пунктів справжня межа — ті, що позначені «Критично». «Лише торгівля, без виведення» — головне правило: кванту виведення не потрібне на жодному етапі, тож вимкни його — і навіть витеклий ключ не зрушить твої гроші. «Білий список IP» прив'язує ключ до того єдиного IP, на якому працює скрипт. «Стережися шахрайства з керуванням» — це інший клас ризику: не технічна діра, а коли тебе прямо обманом змушують віддати ключ з усіма правами, і збитки від цього класу часто найважчі. Не зробиш будь-якого з них — і рівень ризику зовсім інший.

Решта звужують вразливість іще більше: ізолюй кошти в субрахунку, належно зберігай трійку облікових даних і тримай її поза кодом, регулярно ротуй і видаляй старі ключі, увімкни 2FA та антифішинговий код на рівні рахунку. Позначити їх усі означає лише, що ти подолав базову межу безпеки — не абсолютну безпеку; але брак будь-якого з них — це реальна діра. Цей інструмент не збирає твої позначки — він рахує суто в браузері й скидається до нуля, коли ти закриваєш сторінку.

Чек-лист безпеки API

Права й обсяг доступу

Ізоляція рахунку й ключа

Довготривале обслуговування й захист від шахраїв

Пройшов чек-лист? Іди створи чистий ключ