Futuros
Acesse centenas de contratos perpétuos
TradFi
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Launchpad
Chegue cedo para o próximo grande projeto de token
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Simple Earn
Ganhe juros com tokens ociosos
Autoinvestimento
Invista automaticamente regularmente
Investimento duplo
Lucre com a volatilidade do mercado
Soft Staking
Ganhe recompensas com stakings flexíveis
Empréstimo de criptomoedas
0 Fees
Penhore uma criptomoeda para pegar outra emprestado
Centro de empréstimos
Centro de empréstimos integrado
Centro de riqueza VIP
Planos premium de crescimento de patrimônio
Gestão privada de patrimônio
Alocação premium de ativos
Fundo Quantitativo
Estratégias quant de alto nível
Apostar
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem Inteligente
Alavancagem sem liquidação
Cunhagem de GUSD
Cunhe GUSD para retornos em RWA
Mais
Na tarde de domingo, tudo parecia bastante tranquilo. O mercado não estava nem quente nem frio, as conversas no grupo de chat estavam animadas, e o nosso programa de negociação automática funcionava normalmente — coletando dados, fazendo pequenas ordens, escrevendo logs. De repente, uma entrada de registro de uma transação apareceu na interface de negociação, a conta era nossa, mas nós não havíamos feito nenhuma operação. Embora o valor não fosse grande, aquela sensação era como ouvir passos estranhos em casa no meio da noite — o corpo todo ficou tenso instantaneamente.
Algumas pessoas imediatamente entraram em alvoroço. Alguns achavam que a chave API tinha sido vazada, outros suspeitavam que havia um problema no sistema da exchange, e após uma discussão acalorada, não chegaram a uma conclusão. Enquanto discutiam sem parar, um rapaz novo perguntou baixinho: “Essa chave que usamos há mais de um mês, por que nunca trocamos?”
De repente, todos ficaram em silêncio.
No mundo da negociação de ativos digitais, costumamos tratar a chave API como uma chave de entrada — guardá-la bem e achar que está tudo seguro. Mas, na verdade, apenas guardá-la não é suficiente. Especialmente ao usar as interfaces de negociação mais populares, a sessão é na verdade um certificado temporário com validade — como um passe com validade que confirma que seu robô tem permissão para negociar. Se essa validade for muito longa, e ela for roubada ou vazada, as consequências podem ser difíceis de imaginar. Aquela transação inexplicável foi como um sinal de alerta; desta vez, tivemos sorte, o prejuízo foi pequeno. Mas e na próxima? Não podemos apostar na sorte.
Desde aquele dia, decidi resolver esse risco de uma vez por todas. No começo, não entendia bem por que era necessário fazer isso, depois fiquei um pouco irritado, e por fim, decidi melhorar o sistema por conta própria. Já que os traders podem fazer turnos, por que o acesso ao código não pode ser atualizado periodicamente? Nosso time decidiu implementar um mecanismo de troca automática de sessões no sistema — basicamente, fazer com que o certificado de interface seja atualizado regularmente, sempre com um novo passe temporário, de modo que, mesmo que um hacker consiga pegar o antigo, ele não possa usá-lo.
A rotação de chaves é algo que só percebemos depois, felizmente não aconteceu nada grave
Credenciais de API devem ser atualizadas com frequência, ter um mecanismo de rotação automática é mais confiável
Aquela ordem fantasma realmente assustou, ainda bem que o valor era pequeno, senão seria um desastre
A mentalidade de sorte é o maior inimigo das negociações, ainda dá tempo de perceber isso, né?
Sempre uma nova chave, por mais que o hacker seja habilidoso, não adianta
Trocar as chaves periodicamente, isso eu preciso aprender, sinto que também estou jogando com a sorte
O novo rapaz que chegou fez todos ficarem em silêncio com uma frase, essa sim é a verdadeira solução
O mecanismo de troca automática de sessões parece bom, mas na prática, será que não vai precisar de um tempo para ajustar?
A mentalidade de sorte realmente mata, se aquela transação inexplicável fosse maior, realmente não daria para jogar
De verdade, chaves assim como senhas, trocar regularmente é o caminho certo, deixá-las lá sem trocar é se arriscar à morte.
O mecanismo de rotação automática é realmente ótimo, evita o trabalho manual de trocar, o sistema atualiza as permissões automaticamente, muito mais confortável.
Aprendi bastante com essa operação, parece que na área de segurança não dá para ser preguiçoso, pessoal.
Aliás, quantos times ainda usam credenciais expiradas, hein? Uma tossida de cabeça.
Aquela coisa do API realmente, a maioria das pessoas só configura a chave e deixa lá por meio ano... Eu também já cometi esse erro.
Uma frase do tocou no ponto crucial, não é de admirar que todo o grupo estivesse em silêncio haha.
Essa ideia de mecanismo de rotação automática é boa, mas na prática precisa alterar bastante código, dá um pouco de trabalho.
Ainda bem que o valor é pequeno, senão essa lição seria cara demais.
Gerenciar chaves é fácil de falar, mas na prática poucos realmente se preocupam com isso, agora também estou assustado com isso.
Essas registros de transação inexplicáveis já são suficientes para deixar a gente incomodado, é preciso ficar atento.
Porra, é por isso que eu nunca confio nas promessas de "segurança" das exchanges
O comentário do rapaz acertou em cheio, essa é que é a verdadeira compreensão
Rotacionar periodicamente os tokens de sessão é uma ideia realmente forte, bloqueando diretamente a possibilidade de uso da antiga chave
Na minha opinião, a maioria das pessoas só age com sorte, e só se arrepende quando acontece algo
Falando nisso, quantas equipes realmente se atrevem a fazer uma atualização de sistema assim?
Pense bem, se um hacker pegar uma credencial expirada, ela vira papel inútil, é um pouco extremo
Desta vez, a sorte foi boa e não perdeu muito, mas na próxima? Nem quero imaginar
Na verdade, esse mecanismo de rotação automática já deveria ter sido implementado há muito tempo, por que esperar até acontecer algo?
A rotação automática é genial, muito melhor do que a maioria das pessoas ficar segurando uma chave
Para ser honesto, aquela transação fantasma dá medo, e se o valor fosse maior?
A gestão de chaves realmente é a parte mais fácil de ser negligenciada, todo mundo acha que só criptografar resolve
Atualizar as permissões periodicamente é uma ideia que já devia estar sendo promovida, a preguiça mata tudo
Falando sério, essa lógica de rotação de sessões eu já tinha sugerido há muito tempo, mas sempre há quem ache que é complicado, e agora estão a aprender a lição
Aquela transação estranha na verdade é um sinal, o olho do furacão está bem à frente, a maioria das equipes escolhe ignorar, e depois são apanhadas de surpresa
A automação na atualização de permissões está bem feita, pelo menos pode reduzir o fator de risco, senão parece que estamos a jogar um jogo de probabilidades a cada vez