Các khóa giao diện lập trình ứng dụng (API) có thể dùng để cấp quyền truy cập thuận tiện vào dữ liệu cần thiết cho một số chương trình theo lập trình – ví dụ: cung cấp dữ liệu thị trường cho bot giao dịch.
Tuy nhiên, các khóa API có nguy cơ bị xâm phạm nếu không được quản lý đúng cách. Bạn nên học cách sử dụng khóa API an toàn để ngăn tài sản bị xâm phạm.
Binance hiện hỗ trợ hai cặp khóa API bất đối xứng (Ed25519 và RSA) để tăng cường bảo mật. Tìm hiểu cách tạo và sử dụng các cặp khóa này.
Với khóa API, người dùng có thể truy cập vào dữ liệu của mình một cách thuận tiện. Từ các cặp khóa bất đối xứng đến danh sách ưu tiên khóa API, hãy tìm hiểu 5 mẹo từ Binance để giữ an toàn cho khóa API của bạn.
Giao diện lập trình ứng dụng (API) là một cách hiệu quả để cấp cho một số chương trình quyền truy cập vào dữ liệu người dùng, cho phép những chương trình này hành động thay mặt cho người dùng. Với API, dữ liệu có thể được lấy từ Binance để tương tác với các ứng dụng bên ngoài khi cần. Tuy nhiên, các khóa API có thể mang lại nhiều lỗ hổng nếu không được lưu trữ và sử dụng đúng cách. Ví dụ: Những tác nhân độc hại ăn cắp hoặc tấn công giả mạo khóa API của nạn nhân có thể lấy quyền truy cập vào tiền của họ. Tìm hiểu cách giữ an toàn cho tài sản của bạn bằng năm mẹo bảo mật khóa API của chúng tôi.
Khóa bí mật (HMAC) và khóa riêng tư (Ed25519, RSA) của API là dữ liệu rất nhạy cảm. Không bao giờ chia sẻ khóa API với bên thứ ba. Bất kỳ ai có khóa bí mật của API đều có thể thay mặt bạn khởi tạo một yêu cầu API mà không bị hệ thống giám sát rủi ro của chúng tôi phát hiện.
Bạn cũng nên thường xuyên kiểm tra các khóa API đang hoạt động trên tài khoản của mình thông qua trang quản lý API. Nếu bạn nghi ngờ rằng tính bảo mật của bất kỳ khóa API nào bị xâm phạm, hãy đổi khóa đó ngay lập tức. Bạn cũng nên thường xuyên xoay vòng các khóa API, tương tự như cách một số hệ thống yêu cầu thay đổi mật khẩu sau mỗi 30-90 ngày – bất kể bạn có chủ động sử dụng hay không.
Khóa API là công cụ hữu ích đối với những tác vụ như giao dịch tự động, giám sát vị thế và rủi ro cũng như sử dụng cho mục đích thuế. Do đó, rất có thể bạn sẽ có khuynh hướng cấp tất cả quyền cho một khóa API duy nhất và sử dụng khóa đó cho nhiều mục đích, chẳng hạn như giao dịch API và truy vấn dữ liệu. Tuy nhiên, điều này làm giảm tính bảo mật của khóa – nếu khóa API của bạn bị xâm phạm, tin tặc có thể lấy toàn quyền truy cập vào tài khoản và tiền của bạn.
Sẽ an toàn hơn khi sử dụng một khóa API cho một ứng dụng duy nhất và chỉ cấp các quyền cần thiết cho mục đích đó. Ví dụ: Nếu bạn muốn giám sát rủi ro giao dịch, báo cáo thuế và thực hiện giao dịch API Giao ngay và Hợp đồng Tương lai, bạn nên tạo ít nhất bốn khóa, mỗi khóa cho một trong các mục đích sau:
Giao dịch Giao ngay
Giao dịch Hợp đồng Tương lai
Truy vấn dữ liệu thuế
Truy vấn dữ liệu giao dịch (quyền chỉ đọc)
Trên Binance, bạn có thể tạo tối đa 30 khóa API cho mỗi tài khoản phụ.
Như đã đề cập, nếu khóa API của bạn rơi vào tay kẻ xấu, tài sản của bạn có thể bị xâm phạm. Cũng giống như cách bạn bảo vệ các khóa riêng tư của mình, đừng lưu trữ chi tiết về API của bạn ở dạng văn bản thuần túy. Thay vào đó, hãy mã hóa nó hoặc sử dụng trình quản lý bí mật đáng tin cậy. Bạn cũng nên tránh sử dụng giải pháp dựa trên điện toán đám mây để giữ các khóa API của mình vì có thể dễ bị tấn công.
Bạn cũng nên tránh lưu trữ khóa API bên trong mã nguồn hoặc kho lưu trữ của ứng dụng. Nếu bạn đang sử dụng Github hoặc bất kỳ SCM nào khác, bạn nên sử dụng các máy quét bí mật như gitLeaks hoặc git-secrets để đảm bảo rằng token của bạn và các bí mật khác mà công cụ của bạn sử dụng không tồn tại trong repo (thỏa thuận mua lại).
Cân nhắc lưu trữ dữ liệu khóa API của bạn trong các tệp hoặc biến môi trường bên ngoài hệ thống quản lý bên thứ ba mà bạn đang sử dụng để tránh chia sẻ thông tin cá nhân của bạn với họ. Sử dụng phương pháp bảo vệ bổ sung như cụm mật khẩu cho các tệp khóa riêng tư.
Người dùng nên sử dụng danh sách ưu tiên IP trên tất cả các khóa API của họ, bất kể quyền hay mục đích của các khóa API này. Với danh sách ưu tiên IP, chỉ các địa chỉ IP cụ thể mới có thể truy cập khóa API của bạn. Quy trình này giúp ngăn những kẻ xấu sử dụng khóa API của bạn trong trường hợp khóa bị xâm phạm.
Mặc dù không thể sử dụng khóa API để khởi tạo yêu cầu rút tiền mà không có danh sách ưu tiên IP nhưng có nhiều cách khác khiến các khóa này có thể bị lạm dụng. Nếu có quyền truy cập vào khóa của bạn, tin tặc có thể sử dụng tài sản có khối lượng giao dịch tương đối nhỏ để ghép nối giao dịch và từ từ rút tài sản từ ví của bạn. Sau khi tin tặc thực hiện các giao dịch mua tài sản bạn không mong muốn từ tài khoản của chúng và giao dịch với các tài sản blue chip của bạn (BTC, BNB, TUSD, v.v.), bạn sẽ chỉ còn lại những altcoin mà bạn không bao giờ có ý định mua. Nói cách khác, tin tặc có thể sử dụng các khóa API để giao dịch tài sản của bạn với tài sản của họ trong một thị trường có tính thanh khoản tương đối thấp.
Để ngăn chặn những hành vi lừa đảo như vậy, Binance đã triển khai chính sách tự động xóa khóa API. Nếu khóa API của bạn không nằm trong danh sách ưu tiên IP và không hoạt động trong 30 ngày, khóa đó sẽ bị xóa. Để tránh bị xóa tự động, bạn nên tạo danh sách ưu tiên cho IP của mình.
Bạn cũng nên thường xuyên sử dụng các thư viện và công cụ của bên thứ ba. Có những thư viện độc hại được thiết kế đặc biệt để trích xuất các khóa API. Bên cạnh trình quét vi-rút và phần mềm độc hại, hãy cân nhắc sử dụng công cụ phân tích thành phần phần mềm (SCA) và xem xét cẩn thận các thư viện của bên thứ ba trước khi đưa chúng vào.
Cặp khóa bất đối xứng là một cơ chế sử dụng khóa công khai và khóa riêng tư để bảo mật việc truyền dữ liệu. Với cặp khóa RSA, bạn không cần chia sẻ khóa riêng tư dùng để tạo chữ ký. Điều này có nghĩa chỉ cần khóa riêng tư được giữ bí mật và an toàn, không ai có thể thay bạn khởi tạo một yêu cầu xác thực.
Binance hiện hỗ trợ sử dụng khóa Ed25519 và RSA (Rivest-Shamir-Adleman) để tạo các yêu cầu API có chữ ký. Mô hình chữ ký số Ed25519 cung cấp mức độ bảo mật cao tương đương với khóa RSA 3072 bit, trong khi có các chữ ký nhỏ hơn nhiều giúp tính toán nhanh hơn.
Giờ bạn có thể tạo các cặp khóa công khai và khóa riêng tư Ed25519 và RSA, đăng ký khóa công khai trên Binance và sử dụng khóa riêng tư tương ứng để tạo các yêu cầu API có chữ ký.
Tải xuống phiên bản mới nhất của Trình tạo khóa bất đối xứng chính thức của chúng tôi
Chạy ứng dụng. Bạn có thể tạo, sao chép hoặc lưu khóa. Bạn cũng có thể điều chỉnh kích thước khóa của mình.
Để đăng ký khóa công khai thông qua ứng dụng Binance, hãy truy cập [Hồ sơ] -> [Quản lý API] -> [Tạo API] -> [Khóa API tự tạo].
Sao chép khóa công khai từ trình tạo khóa bất đối xứng và dán vào hộp để đăng ký.
Nhập tên cho khóa API của bạn, nhấp vào [Tiếp theo] và hoàn tất 2FA để hoàn tất đăng ký.
Để biết thêm chi tiết, vui lòng tham khảo hướng dẫn của chúng tôi về Cách tạo cặp khóa Ed25519 để gửi yêu cầu API trên Binance.
Chia sẻ khóa API của bạn: Không bao giờ chia sẻ khóa API của bạn với bên thứ ba. Nếu làm vậy, bạn có thể cho phép truy cập trái phép vào tài khoản của mình, dẫn đến khả năng mất tiền.
Cấp quyền quá mức: Tránh trao toàn bộ quyền cho một khóa API duy nhất. Sử dụng các khóa riêng biệt cho các mục đích khác nhau để giảm thiểu rủi ro nếu một khóa bị xâm phạm.
Lưu trữ khóa API không an toàn: Không lưu trữ khóa API của bạn ở dạng văn bản thuần túy hoặc trong mã nguồn của ứng dụng. Sử dụng mã hóa hoặc trình quản lý bí mật đáng tin cậy để giữ an toàn cho khóa.
Không sử dụng danh sách ưu tiên IP: Luôn sử dụng danh sách ưu tiên IP để hạn chế quyền truy cập vào các khóa API của bạn ở các địa chỉ IP cụ thể, ngăn chặn việc sử dụng trái phép ngay cả khi các khóa bị xâm phạm.
Bỏ qua các cặp khóa bất đối xứng: Sử dụng các cặp khóa bất đối xứng (Ed25519 hoặc RSA) để tạo các yêu cầu API có chữ ký, đảm bảo rằng khóa riêng tư của bạn vẫn an toàn.
Bảo mật các khóa API là rất quan trọng để bảo vệ tài sản của bạn và đảm bảo tương tác an toàn với các ứng dụng bên ngoài. Bằng cách tuân theo các giải pháp tối ưu như không chia sẻ khóa API, thường xuyên quản lý quyền truy cập, lưu trữ khóa an toàn, sử dụng danh sách ưu tiên IP và tận dụng các cặp khóa bất đối xứng, bạn có thể giảm đáng kể nguy cơ truy cập trái phép và khả năng mất tiền. Hãy luôn cảnh giác và chủ động trong việc quản lý các khóa API để luôn giữ an toàn cho tài sản kỹ thuật số của bạn trên Binance.
