Chaves de Interface de Programação de Aplicações (API) podem ser usadas para conceder acesso a dados necessários de forma programática e conveniente a certos programas – por exemplo, fornecendo dados de mercado aos bots de trading.
No entanto, as chaves API podem ser comprometidas se não forem gerenciadas adequadamente. Aprender a usar suas chaves API com segurança é essencial para evitar que seus ativos sejam comprometidos.
A Binance agora é compatível com dois pares de chaves API assimétricas (Ed25519 e RSA), para maior segurança. Descubra como gerar essas chaves e utilizá-las.
As chaves API permitem que os usuários acessem dados de forma conveniente. De pares de chaves assimétricas a listas de permissões de chaves API, aprenda cinco dicas da Binance para manter suas chaves API seguras.
A Interface de Programação de Aplicação (API) é uma maneira eficiente de conceder a certos programas acesso aos dados do usuário, permitindo que ela atue em nome do usuário. Com as APIs, os dados podem ser extraídos da Binance para interagir com aplicações externas conforme necessário. No entanto, as chaves API podem trazer vulnerabilidades se não forem armazenadas e usadas corretamente. Por exemplo, pessoas mal-intencionadas que roubam ou fazem phishing das chaves API de suas vítimas podem ter acesso aos seus fundos. Aprenda a manter seus ativos seguros com nossas cinco dicas de segurança para chaves API.
A chave secreta (HMAC) e a chave privada (Ed25519, RSA) de sua API são dados altamente confidenciais. Nunca compartilhe as chaves API com terceiros. Com a chave secreta da sua API, qualquer pessoa pode iniciar uma solicitação de API em seu nome sem ser detectada pelo nosso sistema de monitoramento de riscos.
Você também deve verificar frequentemente as chaves API ativas na sua conta através da página Gerenciamento de API. Caso suspeite que a segurança de qualquer chave API foi comprometida, altere-a imediatamente. Também é uma boa ideia alternar as chaves API com frequência, da mesma forma que alguns sistemas exigem que as senhas sejam alteradas a cada 30-90 dias – independentemente de você usá-las ativamente ou não.
As chaves API são úteis para automatizar o trading, o monitoramento das posições e dos riscos e para fins fiscais. Portanto, pode ser tentador habilitar todas as permissões para uma única chave API e usá-la para várias finalidades, como trading via API e consultas de dados. No entanto, isso reduz a segurança da chave – se a sua chave API for comprometida, um hacker pode obter acesso total à sua conta e fundos.
É mais seguro usar uma chave API para uma única aplicação e ativar as permissões necessárias apenas para essa finalidade. Por exemplo, se você deseja monitorar o risco do trading, declarar impostos e executar trading via API no spot, você deve criar pelo menos três chaves, uma para cada finalidade:
Trading Spot
Futures Trading
Consulta de dados fiscais
Consulta de dados de trading (somente leitura)
Na Binance, você pode criar até 30 chaves API para cada subconta.
Conforme mencionado, se suas chaves API caírem nas mãos de uma pessoa mal-intencionada, seus ativos poderão ser comprometidos. Assim como você protegeria suas chaves privadas, não armazene seus detalhes de API em texto simples. Em vez disso, use criptografia ou um gerenciador privado confiável. Você também deve evitar utilizar soluções baseadas em nuvem para manter suas chaves API, pois elas podem ser vulneráveis a hacks.
Também é recomendável evitar armazenar sua chave API dentro do código-fonte ou repositório do seu aplicativo. Se estiver usando o Github ou quaisquer outros SCMs (Gerenciamento de Código-Fonte), recomendamos o uso de scanners de dados confidenciais como o gitLeaks ou git-secrets para garantir que seu token e outros dados confidenciais usados por suas ferramentas não fiquem armazenados no repositório.
Considere armazenar seus dados de chave API em arquivos ou variáveis de ambiente fora do sistema de gerenciamento de terceiros que você está usando, para evitar o compartilhamento de suas informações privadas com eles. Use proteção adicional com uma frase de segurança (passphrase) para os arquivos da chave privada.
Recomendamos que os usuários usem uma lista de permissões de IP em todas as suas chaves API, independentemente das permissões ou finalidades dessas chaves. Com uma lista de permissões de IP, suas chaves API só podem ser acessadas de endereços IP específicos. Isso evita que pessoas mal-intencionadas usem suas chaves API, caso sejam comprometidas.
Embora uma chave API não possa ser usada para iniciar solicitações de saque sem a permissão de IP, existem outras maneiras pelas quais as chaves podem ser usadas indevidamente. Se um hacker obtiver acesso às suas chaves, ele poderá usar ativos com um volume de trading relativamente pequeno para negociar em pares e desviar lentamente os ativos da sua carteira. Ao executar compras de ativos indesejados da conta do hacker e negociá-los com seus ativos blue-chip (BTC, BNB, TUSD, etc.), você acabará ficando com altcoins que não pretendia comprar. Em outras palavras, o hacker pode usar suas chaves API para negociar seus ativos com os ativos dele em um mercado com liquidez relativamente baixa.
Para evitar tais golpes, a Binance implementou uma política de exclusão automática de chave API. Se sua chave API não estiver na lista de permissões de IP e estiver inativa por 30 dias, ela será excluída. Para evitar a exclusão automática, você deve criar sua lista de permissões de IP.
Também recomendamos que você seja diligente no uso de bibliotecas e ferramentas de terceiros. Existem bibliotecas maliciosas projetadas especificamente para roubar chaves API. Além de scanners de vírus e malware, considere usar uma ferramenta de Análise de Composição de Software (SCA) e revisar cuidadosamente bibliotecas de terceiros antes de usá-las.
Um par de chaves assimétrica é um mecanismo que usa chaves públicas e privadas para proteger a transmissão de dados. Com esse par de chaves, a chave privada usada para criar assinaturas não precisa ser compartilhada. Isso significa que, enquanto a chave privada for mantida segura e confidencial, ninguém mais poderá iniciar uma solicitação autêntica em seu nome.
Agora a Binance é compatível com o uso das chaves Ed25519 e RSA (Rivest-Shamir-Adleman) para criar solicitações de API assinadas. O esquema de assinatura digital Ed25519 fornece um grau de segurança alto quando comparado às chaves RSA de 3072 bits, ao mesmo tempo em que possui assinaturas muito menores que são mais rápidas de calcular.
Agora você pode criar pares de chaves públicas e privadas, Ed25519 e RSA, registrar a chave pública na Binance e usar a chave privada correspondente para criar solicitações de API assinada.
Baixe a última versão do nosso Gerador de Chaves Assimétricas oficial
Inicie o aplicativo. Você pode gerar, copiar ou salvar as chaves. Você pode ajustar o tamanho da sua chave.
Para registrar sua chave pública através do aplicativo da Binance, acesse [Perfil] -> [Gerenciamento de API] -> [Criar API] -> [Gerada pelo usuário].
Copie a chave pública do gerador de chaves assimétricas e cole-a na caixa para registrar.
Insira um nome para sua chave API, clique em [Próximo] e conclua a autenticação 2FA para concluir o cadastro.
Para mais detalhes, consulte nosso guia sobre Como gerar um par de chaves Ed25519 para enviar solicitações de API na Binance.
Compartilhar sua chave API: nunca compartilhe suas chaves API com terceiros. Isso pode permitir o acesso não autorizado à sua conta, levando a uma potencial perda de fundos.
Habilitar permissões excessivas: evite ativar todas as permissões em uma única chave API. Use chaves separadas para propósitos diferentes para minimizar o risco, caso uma chave seja comprometida.
Armazenar chaves API de forma insegura: não armazene suas chaves API em texto simples ou dentro do código-fonte do seu aplicativo. Use encriptação ou gerenciadores de dados confidenciais confiáveis para mantê-las seguras.
Não usar a lista de permissões de IP: sempre use uma lista de permissões de IP para restringir o acesso às suas chaves API de endereços IP específicos, evitando o uso não autorizado, mesmo que as chaves sejam comprometidas.
Negligenciar pares de chaves assimétricas: utilize pares de chaves assimétricas (Ed25519 ou RSA) para criar solicitações de API assinadas, garantindo que sua chave privada permaneça segura.
Proteger suas chaves API é fundamental para proteger seus ativos e garantir interações seguras com aplicações externas. Ao seguir as práticas recomendadas, como não compartilhar suas chaves API, gerenciar o acesso diligentemente, armazenar as chaves com segurança, usar listas de permissões de IP e utilizar os pares de chaves assimétricas, você pode reduzir consideravelmente o risco de acesso não autorizado e potencial perda dos fundos. Mantenha-se atento e proativo no gerenciamento das suas chaves API para sempre manter seus ativos digitais seguros na Binance.
