怎样提升API交易安全？ 标准共识分析师丢币事件浅析

      最近出现了一个比较有意思的事情，有位火币用户不小心将自己的API公私钥上传到公开环境，导致了资产丢失。换句话说，他把自己的银行卡放在了公开环境，并且还附上了银行卡密码，这样的事情有多恐怖，大家想想就知道了。这种情况下，资金丢失肯定是不可避免的了。但这位用户比较幸运，火币帮他找回了丢失的资产。

      在这里，我也想借此和交易所的API用户一起聊下平时的安全注意事项。

      首先要告诉大家的是：一定要保管好API的公私钥，一旦丢失，资产就有被盗风险。有人也许问，那交易所就没有什么防护措施吗？万一不小心，自己的公私钥丢了，那是不是资产一定会被盗？

      当然，交易所也想到了这个风险，并且针对这个风险，也提出了解决方案。

      为防止用户因API被盗或丢失，导致资产丢失风险，用户可以将API账户与自己的服务器IP绑定；通过这种方式，即时API的公私钥丢失或被盗了，只要不是你的服务器IP登陆的该账户，也无法对资产交易。通过这种方式，交易所对API用户加了一层安全保护。

      这是每个交易所都会去采用的安全措施，火币也不例外。

      显然，这个用户并没有将自己的API与自己服务器的IP地址绑定，从而导致了这次资产丢失。

      也许又有人会问，既然将API账户绑定自己服务器的IP，可以在自己公私钥丢失或被盗的情况下，也能避免资产损失，那为什么交易所不直接把我的API账户与IP地址与绑定了呢？

      我可以告诉你，Huobi、OKEx、Binance等交易所没有一家会强制将用户的API与IP地址绑定，都会基于用户的自愿选择。

      据我从火币了解到的情况，火币以前也做过将用户的API与IP绑定的尝试，但是收到了大量的用户反馈，要求将他们的API与自己的IP地址解绑。基于慎重性的考虑，火币针对API用户做了调研，调研结果是86.5%的用户不同意将自己的API与IP地址绑定，比如有些用户反馈，将API与IP地址绑定后，有些量化用户反应，在IP地址出现变动时，导致自己无法正常交易。因此，火币决定不再对用户的API与IP强制绑定，而是采取建议的方式，用户根据自己的需求，选择是否将API与IP绑定。

      在这里，要再次提醒大家的是，一定要保管好自己API账户，如果对自己保管API公私钥的信心不足，就把自己的API与IP绑定。

      这次，这个用户是幸运的，交易所最后帮助他追回了自己的资产。对于这个过程，我也向火币知情者了解了这件事情的经过。据他介绍，这件事大约是发生在1月29号，首先是听到的信息是用户在火币平台发生了丢币事件，火币高度重视，启动了应急程序，交由特殊行动小组处理，经过调查，原来是用户将自己API公私钥不慎泄露所致，风控合规部锁定了可疑账户，对资产实施冻结。

      然后，相关负责人对此次事件展开了调查核实。

      据负责此次事件调查的相关负责人介绍，即使在春节期间以及周末节假日，他们也在处理跟踪这件事情，与各方保持沟通，最终确定账户确实是当事者的非主观意愿所致，资产被恶意盗取。将资产归还给了用户。

      用户在收到火币找回的资产后，表示了感谢。相关负责人给我提供了以下截图，但为了保护用户个人隐私，他对相关人员做了做了模糊处理，把对话双方以火币和用户标注了出来。

      但火币也在声明中表示，“我们对该过程中对当事人感受到的客诉不畅等情况致以真诚的歉意，无论是春节还是平日，作为交易所均应维持高品质的客户体验。我们将深刻反思并进行相关流程的健全完善。” 可以，这很火币。

      在这里，最后要提醒大家，第一、保管好自己的API账户的公私钥；第二、如果担心公私钥有被盗风险，就将API账户与API地址绑定，加强账户的安全性。