幣安API不用了要怎麼刪?防止留口子
幣安賬戶裡不再使用的API金鑰的刪除步驟和原因,以及定期審計API許可權的安全建議,避免被遺忘的API成為賬戶安全漏洞。
直接說結論:幣安賬戶裡不再用的API金鑰要立即刪除,長期保留的閒置API是賬戶裡最大的安全死角。刪除操作只需2分鐘,進入"API管理"頁面點"刪除"即可,需要郵箱+2FA雙重驗證。所有使用者每3個月應該審計一次API清單。先在 幣安官網 進入API管理;手機端在 幣安官方APP 同樣路徑;蘋果使用者參考 iOS安裝教程 裝好APP。
很多人建立API用過一次後就忘了。直到有一天發現賬戶被搬空,回頭查發現某個三年前給量化機器人建立的API金鑰還在生效,而那臺執行機器人的電腦早就被植入木馬。本文講清楚為什麼要刪、怎麼刪、刪完之後怎麼避免再次堆積。
為什麼API比密碼更危險
API金鑰是賬戶的"備用鑰匙",但和密碼相比有幾個特性讓它特別危險:
特性一:預設不需要2FA
普通登入每次都要2FA,但API呼叫一次設定好就長期生效,呼叫時不需要2FA。
特性二:可以高頻呼叫
API設計就是為了機器人24小時不停呼叫。一秒鐘可以提交幾十筆訂單,駭客拿到能瞬間洗倉。
特性三:使用者經常忘記
建立API時填的備註隨便寫,幾個月後完全不記得這個API幹嘛用的。
特性四:第三方平臺容易洩露
API金鑰往往復制到第三方網站(量化平臺、網格機器人、行情訂閱)。這些平臺一旦資料洩露或被黑,你的API就到了攻擊者手上。
第一步:登入幣安進入API管理
開啟 binance.com 登入賬戶→右上角頭像→"賬戶"→左側選單"API管理"。
APP使用者:左上角頭像→"API管理"。
頁面顯示當前賬戶下所有的API金鑰列表,每條記錄包括:
- API名稱(備註)
- 建立日期
- 許可權範圍
- IP白名單
- 最近呼叫時間
- 狀態(啟用/禁用)
第二步:審計每條API的用途和必要性
按順序看每條API,問自己三個問題:
問題一:這個API現在還在用嗎?
看"最近呼叫時間"。超過30天沒呼叫過的,多半是被遺忘的。
問題二:當初建立這個API給誰用的?
如果完全想不起來,那就是高危API,必須刪除。如果記得是給某個量化平臺/網格機器人用的,確認那個平臺你還在用。
問題三:這個API的許可權是不是過大?
如果許可權裡勾了"提幣"、"內部轉賬",但實際使用的功能(比如行情訂閱)根本不需要這些許可權,要麼刪除要麼編輯許可權收緊。
經過這三輪篩查,列出要刪的API清單。
第三步:執行刪除
對每個要刪的API:
- 找到那條記錄
- 點選右側的"刪除"按鈕(部分版本是垃圾桶圖示)
- 確認對話方塊裡再點"刪除"
- 輸入郵箱驗證碼(點"獲取"會發到註冊郵箱)
- 輸入Google Authenticator 2FA碼
- 提交
刪除立刻生效,被刪的API金鑰從這一刻起在幣安伺服器上失效,任何使用這個金鑰的請求都會返回"無效API"。
第四步:通知第三方平臺更新或停用
如果你刪除的API當前正繫結在某個第三方平臺,刪了之後該平臺的策略會立刻失效。
正確做法:
- 先到第三方平臺暫停策略/機器人
- 在幣安刪除舊API
- 如果還要繼續用第三方平臺,在幣安建立一個新的API(許可權收緊、加IP白名單)
- 把新API填到第三方平臺
- 重新啟動策略
注意:很多第三方平臺的"API過期/失效"提醒滯後,幣安刪了之後他們沒立刻發現,機器人會一直報錯。所以先停策略再刪API更穩。
第五步:儲存刪除記錄
幣安會傳送一封郵件確認API已刪除,郵件裡寫明API名稱、刪除時間。這封郵件留存好,未來如果出現安全爭議是證據。
刪除流程一覽表
| 步驟 | 操作 | 耗時 | 驗證 |
|---|---|---|---|
| 1 | 進入API管理頁面 | 30秒 | 已登入 |
| 2 | 審計每條API用途 | 5-10分鐘 | 自檢 |
| 3 | 點刪除按鈕 | 1分鐘 | 郵箱+2FA |
| 4 | 通知第三方平臺 | 5分鐘 | 平臺側操作 |
| 5 | 儲存確認郵件 | 30秒 | 郵箱歸檔 |
不能刪但要降權的情況
有些API正在使用不能刪,但許可權太大要降。
做法:
- 找到那條API
- 點"編輯"
- 調整許可權:取消"提幣"、取消"通用錢包"、只保留必需的
- 設定IP白名單:填入第三方平臺的伺服器IP(一般在該平臺設定說明裡能找到)
- 設定過期時間:建議設定3-6個月,到期自動失效
- 儲存
降權後這個API就算被偷也只能做有限的事,最多查個行情、下個限價單,不能提幣轉錢。
API許可權的危險等級
| 許可權 | 危險等級 | 備註 |
|---|---|---|
| 讀取行情 | 低 | 沒有任何資金風險 |
| 現貨下單 | 中 | 能下單但不能提幣,但能"對敲"砸單 |
| 合約交易 | 高 | 能開倉爆倉損失資金 |
| 提幣 | 極高 | 能直接轉移資產 |
| 內部轉賬 | 高 | 能轉到子賬號或其他幣安賬號 |
| 法幣 | 中 | 能C2C操作但有風控 |
| 槓桿借貸 | 高 | 能借貸套出資產 |
新建立的API預設只勾"讀取"和"現貨下單",永遠不要預設勾"提幣"。
怎麼避免下次又堆一堆閒置API
習慣一:建立API時寫清備註
不要寫"測試1"、"abc"。寫清"2026-04-25 給3commas量化平臺用-只交易BTC現貨"。半年後回看自己也知道是幹嘛的。
習慣二:設定過期時間
幣安API支援設定過期時間。預設90天,到期自動失效。短期除錯用的API設短一點比如7天。
習慣三:定期審計
每3個月把API清單拉出來過一遍。不用的刪,許可權大的降。
習慣四:API分賬戶
如果是機構或多策略使用者,建立子賬號,每個子賬號下單獨發API,主賬號資產隔離。子賬號被攻陷不影響主賬號資產。
習慣五:IP白名單一律開啟
只允許特定伺服器IP呼叫API,駭客拿到金鑰但不在白名單也用不了。
如何建立一個安全的新API
如果刪了舊API要建立新的,建議按這個標準:
- 名稱:寫清平臺+用途+日期
- 許可權:只勾絕對必要的(預設只讀+現貨)
- 絕不勾:提幣、內部轉賬(除非你的應用確實需要)
- IP白名單:填第三方平臺的伺服器IP
- 過期時間:90天或更短
- 二次確認:建立後立刻測試,正常工作後才正式上線
按這套標準建立的API,被攻陷的損失上限可控。
刪除後還能恢復嗎
不能。API刪除是不可逆的。即便你後悔了,幣安客服也不能"找回"已刪除的API。如果還需要類似功能,重新建立一個新的。
新建立的API金鑰和secret與之前的不一樣,第三方平臺需要重新配置。
FAQ
Q:刪除API需要多長時間生效? A:立即生效。點"刪除"提交那一刻起,使用該金鑰的請求就會被幣安拒絕。
Q:刪了API賬戶裡的資產會受影響嗎? A:不會。API只是訪問通道,資產存放在你的賬戶裡不受API影響。刪API只是關閉一個訪問通道。
Q:刪完API發現機器人不能用了,能再開嗎? A:可以建立一個新API。但要注意是否真的還需要這個機器人,許可權是不是設得過大。
Q:API被盜了刪除還來得及嗎? A:取決於多快發現。被盜後立刻刪除並把賬戶裡的資產轉移走是最優解。但駭客拿到API後通常幾分鐘內就開始操作,所以預防比補救重要。
Q:刪一條API要不要把整個賬戶重新做安全檢查? A:建議做。刪API只是關一道門,賬戶裡其他門(密碼、2FA、白名單)也要確認沒問題。
Q:閒置API每個月會被幣安自動清理嗎? A:不會自動清理。幣安只在API過了你設定的過期日才禁用。永遠不過期的API(舊版本預設)會一直保留。
Q:能給一個API繫結多個IP白名單嗎? A:能。幣安API的IP白名單支援多個IP(一般10-20個上限),用換行或逗號分隔填入。
Q:API的金鑰(API Key)和金鑰串(Secret Key)有什麼區別? A:API Key是公開標識(類似賬號),Secret Key是簽名金鑰(類似密碼)。兩者必須一起洩露才會出事。僅洩露API Key沒什麼大問題,但Secret一定要保密。
立刻去API管理頁面看一下你賬戶裡有幾條API。如果超過3條且記不清每條的用途,今天就把不用的刪掉。