交易所 API 密钥安全

API 密钥是交易所颁发的一对凭证（密钥 + 密钥），允许外部程序对账户所有者的交易所账户进行操作。在自动交易（参见 什么是加密货币自动交易？）的背景下，平台持有密钥并使用它代表操作者提交订单。

密钥是整个技术栈中最容易被滥用的对象。资金从不离开交易所进入平台，但密钥配置错误后仍可能造成真实损失。正确设置权限范围是每次交易所集成的第一个不可谈判步骤。

唯一规则

API 密钥上绝不能启用提款权限。

该规则是绝对的。每个主要交易所将权限分为至少三类——读取、交易、提款——平台只需要读取和交易。交易机器人没有合法理由持有提款权限；平台不需要从交易所移走资金来完成其工作。

当提款关闭时，被盗密钥最坏能做的是对账户进行交易（通过预先安排的做市商对手机器人损失资金是经典攻击）。这是真实伤害，但账户本金仍在交易所，可通过交易所支持和限速触发的平仓窗口恢复。

当提款开启时，攻击者可以通过一笔交易清空账户。损失不可逆。

最低权限范围

各交易所名称不同，但每个平台应只请求以下类别：

操作者每次创建或轮换密钥时，应对照此列表检查交易所 UI 中的权限勾选项。

IP 白名单

大多数主要交易所允许操作者将 API 密钥绑定到固定 IP 白名单。来自白名单外 IP 的订单将被拒绝。

Pulsar.INK 像大多数平台一样，公布交易服务器的出口 IP，以便操作者将这些 IP 添加到白名单中。如果操作者的白名单为空 []，密钥可以从任何地方使用，凭证的实际安全性仅为应有水平的一半。

权衡：

• 固定白名单 + 操作者粘贴密钥。 最佳安全性；平台必须发布并维护出口 IP；IP 列表更改时操作者需重新粘贴密钥。
• 无白名单。 设置简单；密钥泄露的爆炸半径是整个互联网；除非交易所不支持白名单，否则坚决避免。

对于在多个平台运行的套利策略，参见 套利机器人——跨平台转账流是操作者有时被诱惑为"方便"而启用提款权限的地方。不要这样做。如果需要跨平台再平衡，使用手动转账或内部子账户。

轮换周期

API 密钥应按周期轮换。最低合理周期：

• 每 90 天，用于纯交易账户上的密钥。
• 立即，如果发生以下任何事件：

- 操作者怀疑密钥泄露。 - 操作者更改了 Telegram 账户（参见 Telegram 原生交易用户体验 了解原因）。 - 平台披露安全事件。 - 交易所通知异常活动。

在 Pulsar.INK 上，轮换是低摩擦操作：在交易所颁发新密钥，粘贴到 Telegram 界面，在交易所撤销旧密钥。平台不缓存旧密钥。

平台端的密钥处理

操作者的密钥和密钥在平台上静态加密存储，仅被特定的订单提交服务使用。它们从不写入日志，不在输入后的 UI 消息中显示，也不向第三方发送。

从操作者角度看，保护控制包括：

1. 绝不将密钥复制到任何聊天、工单或电子邮件中——包括平台支持。支持从不要求密钥。
2. 绝不将密钥粘贴到通过 HTTP（而非 HTTPS）提供的表单中。Telegram Mini App 从设计上只支持 HTTPS。
3. 撤销密钥，如果它曾被复制粘贴到平台密钥输入界面以外的任何地方。轮换成本低；泄露密钥的成本高。

密钥被盗时该怎么做

被盗不仅仅是"我丢失了密钥"。还包括：

• 有密钥的设备丢失或被盗。
• 有密钥的密码管理器被他人访问。
• 密钥出现在与另一方共享的任何日志、消息或文件中。

步骤：

1. 在交易所撤销密钥（最快路径——通常一键即可）。
2. 在 Pulsar.INK 暂停所有策略（Telegram 中的紧急开关）。
3. 检查未成交订单和持仓，查找操作者未放置的入场。
4. 联系交易所支持，如果有未授权交易的证据。
5. 轮换任何共享凭证（Telegram 密码、设备级 PIN），如果攻击路径尚未明确。
6. 颁发新密钥，设置新 IP 白名单；只有在确认之前的攻击已被遏制后才重新启用策略。

自动交易中的风险管理 框架也适用于此：每账户日亏损上限通常在攻击者能通过交叉交易摧毁账户之前就会触发。该上限是所有其他控制失效时的最后防线。

本知识库延伸阅读

• 什么是加密货币自动交易？ — 更广泛的背景。
• Telegram 原生交易用户体验 — 安全边界的 Telegram 端。
• 自动交易中的风险管理 — 在凭证被盗时仍能存活的亏损上限。
• 套利机器人 — 最可能诱惑操作者错误配置密钥的策略。