Grátis Bot de Trading PersonalizadoGrátis Bot de Trading DCAGrátis Bot de Trading GridBot WebhookGrátis Bot de Copy TradingGrátis Bot Smart MoneyGrátis Bot de Trading CRTGrátis Bot de Trading AITerminal de TradingTreinador de IANotificaçõesBacktest
HyperliquidHyperliquidGRVTGRVTAsterDEXAsterDEXExtendedExtendedDecibelDecibelStandXStandXPhoenixPhoenix
ModelosRanking
Central de AjudaBlog
Tema
Idioma
EntrarCriar Conta
securityapi keysafetytrading botbest practices

Crypto Bot API Segurança de chave: um guia de segurança completo

Crypto Bot API Segurança de chave: um guia de segurança completo
Por fomoed Team11 de abril de 20265 min de leitura

Quando você conecta um bot de trading à sua exchange, está concedendo acesso à sua conta via chave API. Feito corretamente, isso é seguro e rotineiro. Feito descuidadamente, é um convite para desastre. Este guia cobre tudo que você precisa saber sobre segurança de chave API para bots de trading cripto.

O que chaves API podem e não podem fazer

Uma chave API é um par de strings — uma chave pública (identificador) e uma chave secreta (senha) — que permite que software interaja com sua conta na exchange programaticamente. Quando você cria uma chave API, escolhe quais permissões ela tem.

A maioria das exchanges oferece três níveis de permissão:

  • Somente leitura: Pode visualizar saldos, posições e histórico de operações
  • Trading: Pode colocar e cancelar ordens, modificar posições
  • Saque: Pode enviar fundos da exchange para endereços externos

Para bots de trading, você precisa de permissões de leitura + trading. Você nunca precisa de permissão de saque. Este é o princípio de segurança mais importante.

A regra de ouro: nunca habilite saques

Se sua chave API não pode sacar fundos, o pior cenário de uma chave comprometida são operações não autorizadas — que podem perder dinheiro, mas não podem drenar sua conta para uma carteira externa. No momento em que habilita permissão de saque, uma chave vazada se torna uma ferramenta para roubo direto.

Nenhum bot de trading legítimo vai pedir permissão de saque. Se um pedir, está mal projetado ou é malicioso. Saia imediatamente.

IP Whitelist: sua melhor defesa

IP whitelist restringe sua chave API para funcionar apenas de endereços IP específicos. Mesmo se alguém roubar sua chave e segredo, não pode usá-la a menos que esteja conectando do seu IP aprovado.

Como configurar:

  1. Encontre o IP do servidor da sua plataforma de bot (fomoed exibe isso nas configurações de conexão da exchange)
  2. No gerenciamento de API da sua exchange, adicione esse IP à whitelist
  3. Habilite a opção "restringir apenas a IPs na whitelist"
  4. Teste se seu bot ainda conecta com sucesso

Para exchanges centralizadas como Binance, Bybit e OKX, IP whitelisting é a medida de segurança mais forte disponível. Na Binance especificamente, chaves API sem restrição de IP têm capacidades reduzidas como medida de segurança.

Escopo de permissões: acesso mínimo necessário

Aplique o princípio do menor privilégio:

  • Bot de trading spot: Habilite apenas trading spot, não futuros
  • Bot de futuros: Habilite apenas trading de futuros, não spot
  • Monitoramento somente leitura: Se quer apenas acompanhar o portfólio, use chaves somente leitura

Algumas exchanges permitem restringir quais pares de trading uma chave API pode acessar. Se a sua permite e você está negociando apenas BTC/USDT, restrinja a chave a esse par.

Armazenando chaves com segurança

Seu segredo API é mostrado uma vez quando criado. Depois disso, a exchange nunca mais o exibe. Veja como lidar:

  • Nunca armazene chaves em arquivos de texto simples, screenshots ou emails
  • Nunca cole chaves em chats, servidores Discord ou tickets de suporte
  • Nunca commite chaves em repositórios git (mesmo privados)
  • Use um gerenciador de senhas (Bitwarden, 1Password) para backups pessoais
  • Se precisa armazenar localmente, use um cofre criptografado

Ao inserir chaves em uma plataforma de bot, verifique que está no site legítimo (confira a URL, confira o certificado) e que a conexão é HTTPS.

O que fazer se uma chave for comprometida

Se suspeitar que sua chave API vazou ou foi comprometida:

  1. Imediatamente faça login na exchange e delete a chave API
  2. Verifique seu histórico recente de operações para atividade não autorizada
  3. Verifique seu histórico de saques (mesmo se saques não estavam habilitados, verifique)
  4. Crie uma nova chave API com credenciais novas
  5. Investigue como o vazamento ocorreu — malware? Phishing? Tela compartilhada?
  6. Habilite 2FA na sua conta da exchange se ainda não estiver ativo

Deletar a chave é instantâneo e irreversível para o atacante. Não hesite — delete primeiro, investigue depois.

Como o fomoed trata suas chaves

Transparência sobre práticas de segurança importa. Veja como o fomoed protege suas credenciais API:

  • Armazenamento criptografado: Chaves são criptografadas em repouso usando criptografia AES-256. Nunca são armazenadas em texto simples.
  • Sem acesso a saques: A plataforma nunca solicita ou aceita chaves com permissão de saque habilitada.
  • Apenas server-side: Suas chaves API são usadas apenas no servidor para execução de operações. Nunca são enviadas ao frontend ou expostas no tráfego do navegador.
  • Retenção mínima: Se você desconectar uma exchange, suas chaves são deletadas dos nossos sistemas.

Para nossa integração com Hyperliquid, usamos uma abordagem diferente �� autenticação baseada em carteira com carteiras agente que têm permissões limitadas, eliminando chaves API completamente.

Autenticação DEX baseada em carteira: a alternativa

Exchanges descentralizadas como Hyperliquid não usam chaves API. Em vez disso, você conecta sua carteira e aprova uma carteira agente — uma sub-chave com permissões apenas de trading que não pode transferir fundos para fora da exchange.

Isso tem vantagens de segurança:

  • Sem segredo para vazar (aprovação do agente é on-chain)
  • Permissões são aplicadas por smart contracts, não políticas da exchange
  • Você pode revogar acesso do agente on-chain a qualquer momento
  • Sem necessidade de IP whitelist (permissões são criptograficamente aplicadas)

A contrapartida é que segurança da carteira se torna crítica — se a chave privada da sua carteira for comprometida, o atacante tem controle total. Use hardware wallets para fundos significativos.

Checklist de segurança para traders com bot

Antes de conectar qualquer bot a qualquer exchange, verifique estes itens:

  • Permissões de saque desabilitadas na chave API
  • IP whitelist configurada (para CEX)
  • 2FA habilitado na conta da exchange
  • Permissões da chave API correspondem às necessidades do bot (nem mais, nem menos)
  • Plataforma de bot usa HTTPS e armazenamento criptografado de chaves
  • Você tem backup da chave em um gerenciador de senhas
  • Sabe como deletar a chave rapidamente se necessário

Comece a negociar com segurança

Segurança não precisa ser complicada. Desabilite saques, habilite IP whitelist e use uma plataforma que trata chaves responsavelmente. Para um guia detalhado de como começar com segurança, confira nosso guia para iniciantes em trading automatizado. Com fomoed, você pode criar sua conta gratuitamente e conectar sua exchange com confiança de que suas chaves são tratadas com criptografia e práticas de segurança adequadas.