Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Centro de Património VIP
Aumento de património premium
Gestão de património privado
Alocação de ativos premium
Fundo Quant
Estratégias quant de topo
Staking
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem inteligente
New
Alavancagem sem liquidação
Cunhagem de GUSD
Cunhe GUSD para retornos RWA
API-keys: onde obtê-los e como proteger a sua conta contra invasões
Se você usa ativamente exchanges de criptomoedas e bots de negociação, certamente está familiarizado com o termo chave API. Mas você sabe onde obter a chave API e como usá-la corretamente? Acontece que o manuseio inadequado desta ferramenta pode levar à perda de fundos e à compromissão da conta.
Para que servem as chaves API e como funcionam
A chave API não é apenas um conjunto aleatório de símbolos. É um código exclusivo que permite que aplicações e bots de negociação acessem a sua conta e realizem operações em seu nome. O princípio de funcionamento é simples: quando você dá permissão a um programa para usar a sua chave API, na verdade, você está fornecendo a ele acesso a dados confidenciais, como se alguém tivesse descoberto sua senha.
Imagine a situação: você quer conectar um bot de negociação à exchange. A exchange gera para você uma chave API, que é usada para identificar seu aplicativo. Quando o bot envia uma solicitação para colocar uma ordem ou verificar o saldo, essa chave é enviada junto — a confirmação de que a solicitação vem de você.
Funções principais das chaves API: autenticação e autorização
API funciona com base em dois princípios fundamentais. A autenticação é a verificação de quem você é (como login e senha). A autorização é a determinação do que você está autorizado a fazer (quais operações estão disponíveis). A chave API desempenha o papel de senha para aplicativos, confirmando sua identidade perante o sistema.
Alguns sistemas utilizam várias chaves ao mesmo tempo: uma chave para autenticação, outra para criar assinaturas criptográficas que confirmam a autenticidade da solicitação. Isso é semelhante à forma como, na Idade Média, eram utilizadas selos para confirmar a autenticidade dos documentos — cada selo tinha um desenho único, que era impossível de falsificar.
Assinaturas criptográficas: um nível adicional de proteção
Os sistemas modernos utilizam chaves criptográficas de dois tipos: simétricas e assimétricas.
Chaves simétricas implicam o uso de um código secreto para assinar dados e verificar a assinatura. Este é um método rápido, que requer menos poder computacional. Um exemplo é o HMAC — um algoritmo que protege criptograficamente os dados com um mínimo de consumo de recursos.
Chaves assimétricas funcionam de maneira diferente: são utilizados dois chaves diferentes, mas criptograficamente relacionadas. A chave privada (secreta) é guardada apenas por você e é utilizada para criar a assinatura. A chave pública é conhecida por todos e é usada para verificar a assinatura. Isso proporciona um nível de segurança mais alto, pois o sistema pode verificar a assinatura sem acesso à chave secreta. Um exemplo clássico é o par de chaves RSA, amplamente utilizado em criptografia.
Onde obter a chave API e como gerá-la corretamente
Não procure a chave API na internet ou a compre a terceiros - isso é extremamente perigoso. Em vez disso, siga este esquema simples:
Cada chave API é gerada especificamente para um usuário concreto e não pode ser utilizada por mais ninguém ( ao cumprir as medidas de segurança ).
Ameaças à segurança: por que as chaves API são um alvo para cibercriminosos
A história conhece muitos casos em que criminosos invadiram bases de dados online e roubaram chaves API em quantidade massiva. Por que as chaves API são tão atraentes para ciberataques?
Em primeiro lugar, eles permitem o acesso a operações do sistema importantes: solicitação de informações pessoais, visualização de saldo, retirada de fundos.
Em segundo lugar, muitas chaves API não têm data de expiração, portanto, uma chave roubada pode ser usada por criminosos de forma ilimitada até que seja desativada.
Em terceiro lugar, o roubo da chave API muitas vezes não levanta suspeitas no usuário até que transações incomuns ou uma queda acentuada no saldo se tornem visíveis.
5 regras para o uso seguro de chaves API
Regra 1: atualize regularmente as chaves. Assim como os sistemas exigem a alteração de senha a cada 30-90 dias, tente mudar as chaves API com a mesma periodicidade. Remova a chave antiga e crie uma nova - isso levará alguns minutos.
Regra 2: crie uma lista branca de endereços IP. Ao criar uma nova chave, especifique quais endereços IP podem usá-la. Se a chave cair em mãos erradas, ela não funcionará a partir de um endereço desconhecido. Além disso, você pode criar uma lista negra de endereços bloqueados.
Regra 3: use várias chaves API. Não coloque todos os ovos na mesma cesta. Crie uma chave separada para cada bot de negociação ou aplicativo. Assim, se uma chave for comprometida, as restantes permanecem seguras. Defina uma lista de IPs permitidos para cada chave.
Regra 4: armazene as chaves em um local seguro. Nunca armazene as chaves API em um arquivo de texto simples na área de trabalho, em armazenamento em nuvem sem criptografia ou em um computador público. Use gerenciadores de senhas com criptografia ou serviços especializados em gerenciamento de dados confidenciais.
Regra 5: não compartilhe suas chaves com ninguém. Esta é uma proibição absoluta. A transmissão da chave API é equivalente à transmissão da senha da conta. A terceira parte obtém todas as capacidades que você possui. Se a chave vazar, desligue-a imediatamente nas configurações.
O que fazer se a chave API estiver comprometida
Se você suspeita de vazamento de chave:
Conclusão
A chave API é uma ferramenta poderosa que requer respeito pela segurança. Lembre-se: a responsabilidade pela proteção da chave recai totalmente sobre você. Trate as chaves API com a mesma seriedade que trata as senhas da sua conta. Siga as recomendações de segurança, atualize as chaves regularmente, nunca as compartilhe com ninguém e sua conta permanecerá segura. Saber onde obter a chave API e como usá-la corretamente é o primeiro passo na proteção dos seus criptoativos.