这里是七哥说的第 5 篇,每篇搞清楚一件事 ——
这篇让我们搞清楚,为什么七哥建议你关闭 API 交易
1. API ≈ 程序
一个交易所,如果它开放 API 能力,那么就意味着,它除了接受你(真人)买卖以外,还接受程序进行买卖。
比如我们以香港的 BITFINEX 交易所为例,可以看到,它为程序提供的 API 能力里包括:
无需账号登录:
- 获取历史及当前 K 线;
- 获取当前交易深度;
- 获取之前一段时间的交易明细;
- 以及更多 …
需要账号登录:
- 账户信息,比如当前余额;
- 下交易订单、取消订单;
- 提币;
- 以及更多 …
2. API key
上面我们看到,程序想要代表一个真人用户交易,那么首先需要获得真人用户的账号授权。
这个授权就是,由真人用户在交易所官网上生成 API key,然后把这个 key 绑定到第 3 方的程序。而这个操作只需要做过一次,从此以后 这个程序就可以代表用户进行交易了。
那么,此时这个账户,就有两个渠道可以进行交易了,分别是:
这里需要注意,一旦程序可以使用 API key 代表用户交易了,那么用户的 2-FA (即 2 步验证)是完全被跳过的!!!
这不是 bug,而是 API 方式就是故意这样设计的 —— 因为 API 设计的初衷就是就是让程序自动交易、从而避免任何手动步骤(如 2-FA)的参与。
3. 交出 API key ≈ 交出你所有的币
作为普通用户,一旦你交出你的 API key 给一个程序,那么从某种意义上,就相当于你向这个程序的作者,交出了你所有的币:
若这位程序作者是“好人”,那他自然不会动你的币;
若这位程序作者不是“好人”,那他一定会在某个你沉睡的晚上,拿走你所有的币。
有朋友问,我开通 API key 的时候、不是区分权限了嘛,如果我只允许交易、不允许提现,那他不就拿不走我的币了嘛。
答案仍然比较残酷:不不不,他一定还是会在某个你沉睡的晚上,拿走你所有的币。以拿走你的 EOS 为例:
- 找一个冷门的交易对 XXX-EOS,他挂一个 超高价 的卖单;
- 拿着只有交易权限的 API key,代表你,用所有的 EOS 买掉他自己的 XXX 卖单;
- 最后的结果是,你值钱的 EOS 躺在他的账户里,他不值钱的 XXX 躺在你的账户里。
4. 建议
所以呢,七哥给一个建议,供你参考吧:
因为,交出 API key,就相当于交出了你所有的币;
所以呢,如果你信任一个人、一个程序到可以无脑给 TA 转你所有的币,那就可以给 TA 你的 API key;
如果你没有信任一个人、一个程序到可以无脑给 TA 转你所有的币,那么就不要给 TA 你的 API key。
这只是一个很简单的、无脑的信任问题,而不是权限问题;而且如果你本人不是程序员,那么我也想不出什么好的理由需要你冒着丢掉全部币的风险交出 API key,所以我进一步建议你:
到你的交易平台上,关闭 API 交易。
5. 加餐:BigONE
另外,对于 BigONE,如果你需要进行交易的话,我建议你在电脑旁操作,因为交易也不是个需要经常发生的事情。
如果你实在需要手机上交易,那么我建议:看行情用币观,交易用 BigONE 的手机网页版。
最后,不来撩一撩优秀的我,真是可惜了!!!
