Chủ yếu

  • Các khóa giao diện chương trình ứng dụng (API) có thể giúp một số chương trình nhất định truy cập thuận tiện vào dữ liệu người dùng.

  • Nếu khóa API không được quản lý chính xác, chúng có thể bị xâm phạm. Để bảo vệ tài sản của mình, người dùng cần sử dụng khóa API một cách an toàn.

  • Binance hiện hỗ trợ các cặp khóa API RSA để tăng cường bảo mật. Trong bài viết này, chúng ta sẽ xem xét kỹ hơn cách tạo và sử dụng chúng.

Cần có khóa API để truy cập dữ liệu. Tìm hiểu 5 mẹo Binance để bảo vệ khóa API của bạn theo nhiều cách khác nhau, từ cặp khóa RSA đến danh sách trắng.

Các khóa giao diện lập trình ứng dụng (API) có thể được sử dụng để cấp cho các chương trình cụ thể quyền truy cập vào dữ liệu của người dùng và cho phép chúng thực hiện các hành động thay mặt người dùng. Tuy nhiên, nếu được lưu trữ và sử dụng không đúng cách, khóa API sẽ dễ bị tấn công. Nếu chúng bị đánh cắp hoặc giả mạo bởi những kẻ tấn công, chúng sẽ có thể truy cập vào tiền của người dùng. Giữ tài sản của bạn an toàn với năm mẹo của Binance để bảo vệ khóa API của bạn.

1. Không đưa chìa khóa của bạn cho bên thứ ba

Khóa bí mật (HMAC) và khóa riêng tư (RSA) của khóa API của bạn là thông tin bí mật. Chúng tôi thực sự khuyên bạn không nên tiết lộ nó cho bất kỳ ai. Với dữ liệu này, bất kỳ ai cũng có thể thay mặt bạn bắt đầu yêu cầu API mà không bị hệ thống giám sát rủi ro phát hiện.

Ngoài ra, hãy nhớ kiểm tra các khóa API đang hoạt động của bạn trên trang quản lý API. Nếu bạn nghi ngờ rằng tính bảo mật của khóa API của mình đã bị xâm phạm, hãy xóa nó ngay lập tức và thay thế bằng một khóa mới. Thỉnh thoảng nên xóa các khóa API cũ và thay thế chúng bằng khóa mới, giống như một số nền tảng yêu cầu bạn thay đổi mật khẩu 30-90 ngày một lần bất kể tần suất sử dụng.

2. Quản lý quyền truy cập cẩn thận

Khóa API là công cụ hữu ích để giao dịch tự động, giám sát vị thế và rủi ro cũng như thuế. Do đó, việc kích hoạt tất cả các quyền cho một khóa API và sử dụng nó cho nhiều mục đích có thể rất hấp dẫn—ví dụ: giao dịch API và truy vấn dữ liệu. Tuy nhiên, điều này sẽ ảnh hưởng nghiêm trọng đến tính bảo mật của khóa: nếu nó bị xâm phạm, hacker sẽ có toàn quyền truy cập vào tài khoản và tiền.

Chúng tôi khuyên bạn nên sử dụng khóa API cho một tác vụ duy nhất và chỉ kích hoạt các quyền cần thiết. Ví dụ: nếu bạn muốn theo dõi rủi ro giao dịch, tạo báo cáo thuế cũng như giao dịch giao ngay và hợp đồng tương lai thông qua API, hãy tạo ít nhất bốn khóa, một khóa cho mỗi nhiệm vụ:

  1. Giao dịch giao ngay

  2. Giao dịch tương lai

  3. Yêu cầu thông tin thuế

  4. Truy vấn chi tiết giao dịch (quyền chỉ đọc)

Trên Binance, bạn có thể tạo tối đa 30 khóa API cho mỗi tài khoản phụ.

3. Lưu trữ dữ liệu khóa API của bạn một cách an toàn

Như đã đề cập ở trên, nếu khóa API rơi vào tay kẻ tấn công, chúng có thể đánh cắp tài sản của bạn. Giống như khóa riêng, dữ liệu API phải được giữ an toàn. Sử dụng phần mềm mã hóa hoặc dịch vụ quản lý dữ liệu bí mật đáng tin cậy. Tránh các giải pháp lưu trữ khóa API dựa trên đám mây vì chúng có thể dễ bị hack.

Ngoài ra, bạn không nên lưu trữ khóa API trong mã nguồn hoặc bộ lưu trữ của ứng dụng. 

Thay vào đó, dữ liệu khóa API có thể được lưu trữ trong các tệp hoặc biến môi trường bên ngoài hệ thống quản lý bên thứ ba của bạn để giúp bảo vệ thông tin nhạy cảm.

Vì khóa riêng RSA hỗ trợ bảo vệ bằng mật khẩu nên tốt nhất bạn nên thêm mật khẩu cho từng khóa riêng.

4. Sử dụng danh sách IP trắng

Binance đặc biệt khuyến nghị người dùng nên sử dụng danh sách IP trắng cho tất cả các khóa API, bất kể quyền và mục đích của chúng là gì. Danh sách trắng IP hạn chế quyền truy cập vào các khóa API của bạn để chỉ những địa chỉ IP được ủy quyền mới có thể kết nối với chúng. Điều này sẽ ngăn kẻ tấn công sử dụng khóa API của bạn ngay cả khi chúng bị xâm phạm. Đảm bảo đưa các địa chỉ IP vào danh sách trắng sẽ được phê duyệt để truy cập khóa API của bạn.

Cảnh giác với những kẻ lừa đảo

Mặc dù tin tặc sẽ không thể rút tiền thông qua khóa API nếu không đưa địa chỉ IP vào danh sách trắng, nhưng điều quan trọng là phải đảm bảo rằng khóa API được bảo vệ. Rốt cuộc, nếu kẻ tấn công có quyền truy cập vào chúng, hắn sẽ có thể sử dụng số tiền nhỏ để giao dịch theo cặp và rút dần tài sản khỏi ví của bạn. Tin tặc sẽ bán cho bạn những tài sản không mong muốn để đổi lấy blue chip của bạn (BTC, BNB, BUSD, v.v.) và cuối cùng để lại cho bạn những altcoin mà bạn không có ý định mua. Nói cách khác, nó có thể sử dụng khóa API để trao đổi tài sản sinh lời của bạn lấy tài sản có tính thanh khoản thấp.

Để ngăn chặn hành vi gian lận như vậy, Binance đã triển khai chính sách xóa khóa API tự động vào tháng 12 năm 2022. Nếu khóa API của bạn không nằm trong danh sách IP cho phép và không hoạt động trong 30 ngày, khóa này sẽ bị xóa. Để tránh tự động xóa, hãy tạo danh sách trắng các địa chỉ IP.

5. Sử dụng cặp khóa RSA

Cặp khóa RSA (Rivest-Shamir-Adleman) là cơ chế sử dụng khóa chung và khóa riêng để bảo mật việc truyền dữ liệu.

Khi sử dụng cặp khóa RSA, khóa riêng cần thiết để tạo chữ ký vẫn được giữ bí mật. Nghĩa là, miễn là khóa riêng được giữ bí mật thì không ai khác có thể thay mặt bạn thực hiện một yêu cầu xác thực.

Binance bổ sung hỗ trợ cho khóa API RSA

Binance đã thêm hỗ trợ cho khóa API RSA. Giờ đây, bạn có thể tạo cặp khóa RSA công khai và riêng tư, đăng ký khóa chung trên Binance và sử dụng khóa riêng tương ứng để tạo và ký các yêu cầu API. 

Cách tạo cặp khóa RSA trên Binance

  1. Tải xuống phiên bản mới nhất của trình tạo khóa RSA chính thức.

  1. Khởi chạy ứng dụng. Trong đó, bạn có thể tạo, sao chép và lưu khóa cũng như điều chỉnh kích thước của chúng.

  1. Đăng ký khóa RSA của bạn thông qua ứng dụng Binance bằng cách truy cập Hồ sơ - Quản lý API - Tạo API - Khóa API tự tạo.

  1. Sao chép khóa chung từ trình tạo khóa RSA và dán nó vào trường đăng ký.

  1. Cung cấp tên khóa API, nhấp vào Tiếp theo và hoàn tất xác thực hai yếu tố để hoàn tất đăng ký.

Để biết thêm chi tiết, hãy xem hướng dẫn Cách tạo cặp khóa RSA để gửi yêu cầu API tới Binance.

Thông tin bổ sung

  • (Thông báo) Binance đã bổ sung hỗ trợ cho khóa API RSA (29/12/2022)

  • (Blog) Cách xác định và bảo vệ chống lại những trò lừa đảo của kẻ mạo danh

  • (Blog) Gian lận hoàn tiền: Làm thế nào để tránh bị lừa đảo hai lần

  • (Blog) Cách nhận biết và tránh lừa đảo trong giao dịch P2P

  • (Blog) Kẻ lừa đảo đã tạo ảnh ba chiều AI của tôi để lừa đảo các dự án tiền điện tử