Ücretsiz Özel Trading BotuÜcretsiz DCA Trading BotuÜcretsiz Grid Trading BotuWebhook BotuÜcretsiz Copy Trading BotuÜcretsiz Smart Money BotuÜcretsiz CRT Trading BotuÜcretsiz AI Trading AgentTrading TerminaliYapay Zeka KoçuBildirimlerBacktest
HyperliquidHyperliquidGRVTGRVTAsterDEXAsterDEXExtendedExtendedDecibelDecibelStandXStandXPhoenixPhoenix
Blueprint'lerSıralama
Yardım MerkeziBlog
Tema
Dil
Giriş YapKayıt Ol
securityapi keysafetytrading botbest practices

Kripto Bot API Key Güvenliği: Kapsamlı Güvenlik Rehberi

Kripto Bot API Key Güvenliği: Kapsamlı Güvenlik Rehberi
Yazar fomoed Team11 Nisan 20264 dk okuma

Bir trading bot'u borsanıza bağladığınızda, API key aracılığıyla hesabınıza erişim veriyorsunuz. Doğru yapıldığında bu güvenli ve rutindir. Dikkatsizce yapıldığında ise felakete davetiye çıkarır. Bu rehber, kripto trading bot'ları için API key güvenliği hakkında bilmeniz gereken her şeyi kapsar.

API Key'lerin Yapabilecekleri ve Yapamayacakları

API key, yazılımın borsa hesabınızla programatik olarak etkileşim kurmasına izin veren bir çift dizgedir — public key (tanımlayıcı) ve secret key (şifre). Bir API key oluştururken, hangi izinlere sahip olacağını seçersiniz.

Çoğu borsa üç izin seviyesi sunar:

  • Sadece okuma: Bakiyeleri, pozisyonları ve işlem geçmişini görüntüleyebilir
  • Trading: Emir verebilir ve iptal edebilir, pozisyonları değiştirebilir
  • Withdrawal: Fonları borsadan dış adreslere gönderebilir

Trading bot'ları için okuma + trading izinlerine ihtiyacınız var. Withdrawal izinlerine asla ihtiyacınız yok. Bu en önemli güvenlik prensibidir.

Altın Kural: Asla Withdrawal'ı Etkinleştirmeyin

API key'iniz fon çekemiyorsa, ele geçirilmiş bir key'den kaynaklanabilecek en kötü senaryo yetkisiz işlemlerdir — bu para kaybettirebilir ama hesabınızı dış bir cüzdana boşaltamaz. Withdrawal izinlerini etkinleştirdiğiniz anda, sızan bir key doğrudan hırsızlık aracına dönüşür.

Hiçbir meşru trading bot asla withdrawal izinleri talep etmez. Eğer biri talep ediyorsa, ya kötü tasarlanmış ya da kötü niyetlidir. Uzak durun.

IP Whitelisting: En İyi Savunmanız

IP whitelisting, API key'inizi yalnızca belirli IP adreslerinden çalışacak şekilde kısıtlar. Biri key ve secret'inizi çalsa bile, onaylı IP'nizden bağlanmadıkları sürece kullanamaz.

Nasıl kurulur:

  1. Bot platformunuzun sunucu IP'sini bulun (fomoed bunu borsa bağlantı ayarlarında gösterir)
  2. Borsanızın API yönetiminde, bu IP'yi whitelist'e ekleyin
  3. "Sadece whitelisted IP'lere kısıtla" seçeneğini etkinleştirin
  4. Bot'unuzun hala başarılı bir şekilde bağlandığını test edin

Binance, Bybit ve OKX gibi merkezi borsalar için IP whitelisting mevcut en güçlü güvenlik önlemidir. Özellikle Binance'de, IP kısıtlaması olmayan API key'lerin güvenlik önlemi olarak azaltılmış yetenekleri vardır.

İzin Kapsamı: Minimum Gerekli Erişim

En az ayrıcalık prensibini uygulayın:

  • Spot trading bot: Sadece spot trading'i etkinleştirin, futures değil
  • Futures bot: Sadece futures trading'i etkinleştirin, spot değil
  • Sadece okuma izleme: Sadece portföyü takip etmek istiyorsanız, sadece okuma key'lerini kullanın

Bazı borsalar, bir API key'in hangi işlem çiftlerine erişebileceğini kısıtlamanıza izin verir. Sizinki de böyleyse ve sadece BTC/USDT işlem yapıyorsanız, key'i o çifte kısıtlayın.

Key'leri Güvenli Saklama

API secret'iniz oluşturulduğunda bir kez gösterilir. Bundan sonra borsa bir daha asla göstermez. İşte nasıl ele alınacağı:

  • Key'leri düz metin dosyalarda, ekran görüntülerinde veya e-postalarda asla saklamayın
  • Key'leri sohbetlere, Discord sunucularına veya destek biletlerine asla yapıştırmayın
  • Key'leri git repository'lerine asla commit etmeyin (özel olanlar bile)
  • Kişisel yedeklemeler için bir şifre yöneticisi kullanın (Bitwarden, 1Password)
  • Yerel olarak saklamanız gerekiyorsa, şifrelenmiş bir vault kullanın

Key'leri bir bot platformuna girerken, meşru sitede olduğunuzu doğrulayın (URL'yi kontrol edin, sertifikayı kontrol edin) ve bağlantının HTTPS olduğundan emin olun.

Key Ele Geçirilirse Ne Yapmalı

API key'inizin sızdığından veya ele geçirildiğinden şüpheleniyorsanız:

  1. Hemen borsanıza giriş yapın ve API key'i silin
  2. Yetkisiz aktivite için son işlem geçmişinizi kontrol edin
  3. Withdrawal geçmişinizi kontrol edin (withdrawal etkin olmasa bile, doğrulayın)
  4. Yeni kimlik bilgileriyle yeni bir API key oluşturun
  5. Sızıntının nasıl oluştuğunu araştırın — malware? Phishing? Paylaşılan ekran?
  6. Henüz aktif değilse borsa hesabınızda 2FA'yi etkinleştirin

Key'i silmek anında ve saldırgan için geri alınamaz. Tereddüt etmeyin — önce silin, sonra araştırın.

fomoed Key'lerinizi Nasıl Ele Alır

Güvenlik uygulamaları hakkında şeffaflık önemlidir. fomoed API kimlik bilgilerinizi nasıl koruyor:

  • Şifrelenmiş depolama: Key'ler AES-256 şifreleme kullanılarak dinlenik durumda şifrelenir. Asla düz metin olarak saklanmaz.
  • Withdrawal erişimi yok: Platform asla withdrawal izinleri etkin olan key'leri talep etmez veya kabul etmez.
  • Sadece sunucu tarafı: API key'leriniz sadece sunucu tarafında işlem yürütme için kullanılır. Asla frontend'e gönderilmez veya tarayıcı trafiğinde açığa çıkmaz.
  • Minimal saklama: Bir borsayı bağlantısını keserseniz, key'leriniz sistemlerimizden silinir.

Hyperliquid entegrasyonumuz için tamamen farklı bir yaklaşım kullanıyoruz — API key'leri tamamen ortadan kaldıran, sınırlı izinlere sahip agent cüzdanlarla cüzdan tabanlı kimlik doğrulama.

DEX Cüzdan Tabanlı Kimlik Doğrulama: Alternatif

Hyperliquid gibi merkezi olmayan borsalar API key kullanmaz. Bunun yerine, cüzdanınızı bağlar ve bir agent cüzdan onaylarsınız — fonları borsadan çıkaramayan, sadece trading izinlerine sahip bir alt-key.

Bunun güvenlik avantajları vardır:

  • Sızacak secret yok (agent onayı zincir üzerinde)
  • İzinler akıllı kontratlarla zorunlu kılınır, borsa politikalarıyla değil
  • Agent erişimini istediğiniz zaman zincir üzerinde iptal edebilirsiniz
  • IP whitelisting gerekmez (izinler kriptografik olarak zorunlu kılınır)

Takas şu ki cüzdan güvenliği kritik hale gelir — cüzdanınızın private key'i ele geçirilirse, saldırgan tam kontrole sahip olur. Önemli fonlar için hardware cüzdanları kullanın.

Bot Trader'ları İçin Güvenlik Kontrol Listesi

Herhangi bir bot'u herhangi bir borsaya bağlamadan önce, bu öğeleri doğrulayın:

  • API key'de withdrawal izinleri devre dışı
  • IP whitelist yapılandırılmış (CEX için)
  • Borsa hesabında 2FA etkin
  • API key izinleri bot'un ihtiyaçlarına uygun (ne fazla, ne eksik)
  • Bot platformu HTTPS ve şifrelenmiş key depolama kullanıyor
  • Şifre yöneticisinde key'in yedeği var
  • Gerektiğinde key'i hızlı bir şekilde nasıl sileceğinizi biliyorsunuz

Güvenli Trading'e Başlayın

Güvenlik karmaşık olmak zorunda değil. Withdrawal'ları devre dışı bırakın, IP whitelisting'i etkinleştirin ve key'leri sorumlu bir şekilde ele alan bir platform kullanın. Güvenli bir şekilde başlamak için daha derin bir rehber için otomatik trading başlangıç rehberimize göz atın. fomoed ile hesabınızı ücretsiz kurabilir ve key'lerinizin uygun şifreleme ve güvenlik uygulamalarıyla ele alınacağı güveniyle borsanızı bağlayabilirsiniz.