币安API不用了要怎么删?防止留口子
币安账户里不再使用的API密钥的删除步骤和原因,以及定期审计API权限的安全建议,避免被遗忘的API成为账户安全漏洞。
直接说结论:币安账户里不再用的API密钥要立即删除,长期保留的闲置API是账户里最大的安全死角。删除操作只需2分钟,进入"API管理"页面点"删除"即可,需要邮箱+2FA双重验证。所有用户每3个月应该审计一次API清单。先在 币安官网 进入API管理;手机端在 币安官方APP 同样路径;苹果用户参考 iOS安装教程 装好APP。
很多人创建API用过一次后就忘了。直到有一天发现账户被搬空,回头查发现某个三年前给量化机器人创建的API密钥还在生效,而那台运行机器人的电脑早就被植入木马。本文讲清楚为什么要删、怎么删、删完之后怎么避免再次堆积。
为什么API比密码更危险
API密钥是账户的"备用钥匙",但和密码相比有几个特性让它特别危险:
特性一:默认不需要2FA
普通登录每次都要2FA,但API调用一次设置好就长期生效,调用时不需要2FA。
特性二:可以高频调用
API设计就是为了机器人24小时不停调用。一秒钟可以提交几十笔订单,黑客拿到能瞬间洗仓。
特性三:用户经常忘记
创建API时填的备注随便写,几个月后完全不记得这个API干嘛用的。
特性四:第三方平台容易泄露
API密钥往往复制到第三方网站(量化平台、网格机器人、行情订阅)。这些平台一旦数据泄露或被黑,你的API就到了攻击者手上。
第一步:登录币安进入API管理
打开 binance.com 登录账户→右上角头像→"账户"→左侧菜单"API管理"。
APP用户:左上角头像→"API管理"。
页面显示当前账户下所有的API密钥列表,每条记录包括:
- API名称(备注)
- 创建日期
- 权限范围
- IP白名单
- 最近调用时间
- 状态(启用/禁用)
第二步:审计每条API的用途和必要性
按顺序看每条API,问自己三个问题:
问题一:这个API现在还在用吗?
看"最近调用时间"。超过30天没调用过的,多半是被遗忘的。
问题二:当初创建这个API给谁用的?
如果完全想不起来,那就是高危API,必须删除。如果记得是给某个量化平台/网格机器人用的,确认那个平台你还在用。
问题三:这个API的权限是不是过大?
如果权限里勾了"提币"、"内部转账",但实际使用的功能(比如行情订阅)根本不需要这些权限,要么删除要么编辑权限收紧。
经过这三轮筛查,列出要删的API清单。
第三步:执行删除
对每个要删的API:
- 找到那条记录
- 点击右侧的"删除"按钮(部分版本是垃圾桶图标)
- 确认对话框里再点"删除"
- 输入邮箱验证码(点"获取"会发到注册邮箱)
- 输入Google Authenticator 2FA码
- 提交
删除立刻生效,被删的API密钥从这一刻起在币安服务器上失效,任何使用这个密钥的请求都会返回"无效API"。
第四步:通知第三方平台更新或停用
如果你删除的API当前正绑定在某个第三方平台,删了之后该平台的策略会立刻失效。
正确做法:
- 先到第三方平台暂停策略/机器人
- 在币安删除旧API
- 如果还要继续用第三方平台,在币安创建一个新的API(权限收紧、加IP白名单)
- 把新API填到第三方平台
- 重新启动策略
注意:很多第三方平台的"API过期/失效"提醒滞后,币安删了之后他们没立刻发现,机器人会一直报错。所以先停策略再删API更稳。
第五步:保存删除记录
币安会发送一封邮件确认API已删除,邮件里写明API名称、删除时间。这封邮件留存好,未来如果出现安全争议是证据。
删除流程一览表
| 步骤 | 操作 | 耗时 | 验证 |
|---|---|---|---|
| 1 | 进入API管理页面 | 30秒 | 已登录 |
| 2 | 审计每条API用途 | 5-10分钟 | 自检 |
| 3 | 点删除按钮 | 1分钟 | 邮箱+2FA |
| 4 | 通知第三方平台 | 5分钟 | 平台侧操作 |
| 5 | 保存确认邮件 | 30秒 | 邮箱归档 |
不能删但要降权的情况
有些API正在使用不能删,但权限太大要降。
做法:
- 找到那条API
- 点"编辑"
- 调整权限:取消"提币"、取消"通用钱包"、只保留必需的
- 设置IP白名单:填入第三方平台的服务器IP(一般在该平台设置说明里能找到)
- 设置过期时间:建议设置3-6个月,到期自动失效
- 保存
降权后这个API就算被偷也只能做有限的事,最多查个行情、下个限价单,不能提币转钱。
API权限的危险等级
| 权限 | 危险等级 | 备注 |
|---|---|---|
| 读取行情 | 低 | 没有任何资金风险 |
| 现货下单 | 中 | 能下单但不能提币,但能"对敲"砸单 |
| 合约交易 | 高 | 能开仓爆仓损失资金 |
| 提币 | 极高 | 能直接转移资产 |
| 内部转账 | 高 | 能转到子账号或其他币安账号 |
| 法币 | 中 | 能C2C操作但有风控 |
| 杠杆借贷 | 高 | 能借贷套出资产 |
新创建的API默认只勾"读取"和"现货下单",永远不要默认勾"提币"。
怎么避免下次又堆一堆闲置API
习惯一:创建API时写清备注
不要写"测试1"、"abc"。写清"2026-04-25 给3commas量化平台用-只交易BTC现货"。半年后回看自己也知道是干嘛的。
习惯二:设置过期时间
币安API支持设置过期时间。默认90天,到期自动失效。短期调试用的API设短一点比如7天。
习惯三:定期审计
每3个月把API清单拉出来过一遍。不用的删,权限大的降。
习惯四:API分账户
如果是机构或多策略用户,创建子账号,每个子账号下单独发API,主账号资产隔离。子账号被攻陷不影响主账号资产。
习惯五:IP白名单一律打开
只允许特定服务器IP调用API,黑客拿到密钥但不在白名单也用不了。
如何创建一个安全的新API
如果删了旧API要创建新的,建议按这个标准:
- 名称:写清平台+用途+日期
- 权限:只勾绝对必要的(默认只读+现货)
- 绝不勾:提币、内部转账(除非你的应用确实需要)
- IP白名单:填第三方平台的服务器IP
- 过期时间:90天或更短
- 二次确认:创建后立刻测试,正常工作后才正式上线
按这套标准创建的API,被攻陷的损失上限可控。
删除后还能恢复吗
不能。API删除是不可逆的。即便你后悔了,币安客服也不能"找回"已删除的API。如果还需要类似功能,重新创建一个新的。
新创建的API密钥和secret与之前的不一样,第三方平台需要重新配置。
FAQ
Q:删除API需要多长时间生效? A:立即生效。点"删除"提交那一刻起,使用该密钥的请求就会被币安拒绝。
Q:删了API账户里的资产会受影响吗? A:不会。API只是访问通道,资产存放在你的账户里不受API影响。删API只是关闭一个访问通道。
Q:删完API发现机器人不能用了,能再开吗? A:可以创建一个新API。但要注意是否真的还需要这个机器人,权限是不是设得过大。
Q:API被盗了删除还来得及吗? A:取决于多快发现。被盗后立刻删除并把账户里的资产转移走是最优解。但黑客拿到API后通常几分钟内就开始操作,所以预防比补救重要。
Q:删一条API要不要把整个账户重新做安全检查? A:建议做。删API只是关一道门,账户里其他门(密码、2FA、白名单)也要确认没问题。
Q:闲置API每个月会被币安自动清理吗? A:不会自动清理。币安只在API过了你设置的过期日才禁用。永远不过期的API(旧版本默认)会一直保留。
Q:能给一个API绑定多个IP白名单吗? A:能。币安API的IP白名单支持多个IP(一般10-20个上限),用换行或逗号分隔填入。
Q:API的密钥(API Key)和密钥串(Secret Key)有什么区别? A:API Key是公开标识(类似账号),Secret Key是签名密钥(类似密码)。两者必须一起泄露才会出事。仅泄露API Key没什么大问题,但Secret一定要保密。
立刻去API管理页面看一下你账户里有几条API。如果超过3条且记不清每条的用途,今天就把不用的删掉。