[科技界] 怎样提升API交易安全？ 标准共识分析师丢币事件浅析

最近发生了一件有趣的事。一个火币用户不小心把自己的api公钥和私钥上传到了公共环境，导致资产损失。换句话说，他把自己的银行卡放在一个开放的环境里，并附上了银行卡密码，所以你可以看到这有多恐怖。在这种情况下，资金的流失是不可避免的。不过这个用户很幸运，火币帮他找回了丢失的资产。

在这里，我还想和交易所的应用编程接口用户谈谈通常的安全防范措施。

首先要告诉你的是:你必须保存好api的公钥和私钥。一旦丢失，资产就会被盗。有人可能会问，交易所没有什么保护措施吗？如果不小心丢失了公私钥，资产会被盗吗？

当然，交易所也想到了这个风险，并针对这个风险提出了解决方案。

为了防止用户因api被盗或丢失而丢失资产，用户可以将api账户与自己的服务器ip绑定；这样，即使api的公钥私钥丢失或被盗，只要你的服务器ip没有登录账号，就不可能进行资产交易。这样，交换给api用户增加了一层安全保护。

这是每个交易所都会采取的安全措施，炒钱也不例外。

显然，这个用户没有将他的api绑定到他的服务器的ip地址，这导致了资产损失。

也许有人会问，既然绑定api帐户到你的服务器的ip可以避免资产损失，即使你的公钥和私钥丢失或被盗，为什么交易所不直接绑定我的api帐户到ip地址？

我可以告诉你，没有一个交换，如huobi、okex和binance，会强制用户的api与ip地址绑定，这将基于用户的自愿选择。

据我从霍比那里了解到的，霍比之前也尝试过用ip绑定用户的api，但是收到了很多用户的反馈，要求他们用自己的ip地址去绑定自己的api。在仔细考虑的基础上，Huobi对api用户进行了调查，调查结果显示，86.5%的用户不同意将其api与ip地址绑定。例如，一些用户反馈说，在将api与ip地址绑定后，一些量化的用户做出了反应，导致他们在ip地址改变时无法正常交易。因此，Huobi决定不强制绑定用户的api和ip，而是采用建议的方式，用户根据自己的需要选择是否绑定api和ip。

在这里，我们应该再次提醒你，你必须保持你的api帐户。如果你对保持你的api公钥和私钥没有足够的信心，你应该把你的api绑定到ip。

这次用户运气不错，交易所终于帮他追回了资产。对于这个过程，我也是从认识火钱的人那里了解到这个事件的。据他说，这件事发生在1月29日。我听到的第一句话是用户在火币这个平台上赔钱。火币非常重视，启动了应急程序，交给了特别行动小组。经过调查，原来是用户不小心泄露了自己的api公钥和私钥。风险控制合规部锁定了可疑账户并冻结了资产。

随后，相关责任人对事件进行了调查核实。

据调查此事的相关负责人透露，即使在春节、周末、节假日期间，他们也在处理此事，与各方保持沟通，最终确定该账户确实是当事人非主观意愿所致，资产被恶意窃取。资产已返还给用户。

用户在收到火币回收的资产后表示感谢。相关负责人给我提供了以下截图，但为了保护用户的个人隐私，他对相关人员进行了模糊处理，用火币和用户标注了谈话双方。

但霍比也在声明中表示，对于当事人在过程中感受到的客户投诉，我们表示诚挚的歉意，作为交流，无论是春节还是平日，我们都要保持高质量的客户体验。我们会深入反思，完善相关流程。对，是很热钱。

在这里，最后要提醒大家，第一，保留你的api账号的公钥和私钥；第二，如果您担心公钥和私钥被盗的风险，请将api帐户与api地址绑定，以加强帐户的安全性。