Фьючерсы
Доступ к сотням фьючерсов
TradFi
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Еще
Воскресенье после обеда, всё казалось спокойным. Рынок был в состоянии равновесия, обсуждения в группе шли оживлённо, наш автоматический торговый алгоритм работал как обычно — собирал данные, размещал мелкие ордера, писал логи. Вдруг на торговом интерфейсе всплыла запись о сделке, аккаунт принадлежал нам, но мы вообще ничего не делали. Хотя сумма была небольшая, ощущение было такое, будто в глубокой ночи услышать чужие шаги в доме — мгновенно всё тело напряглось.
Несколько человек сразу же взорвались обсуждениями. Кто-то подумал, что утекли API-ключи, кто-то заподозрил сбой в системе биржи, но после жарких споров так и не пришли к единому мнению. В разгар спора один новичок тихо спросил: «Мы используем эти ключи уже больше месяца, почему их не меняли?»
Мгновенно все замолчали.
В мире цифровых активов мы часто считаем API-ключи ключами от двери — спрятал и считаешь, что всё в порядке. Но на самом деле, просто спрятать их недостаточно. Особенно при использовании популярных торговых интерфейсов, сессия — это всего лишь временный сертификат, как пропуск с ограниченным сроком действия, подтверждающий, что у вашего бота есть право на торговлю. Если срок действия этого сертификата установлен слишком длинным, и он будет украден или скомпрометирован, последствия могут быть очень серьёзными. Эта странная сделка — как тревожный сигнал, нам повезло, что убытки были небольшими. А что дальше? Везение — не лучший стратегический ход.
С тех пор я решил полностью устранить эту уязвимость. Сначала я не понимал, зачем это нужно, потом разозлился, а в конце просто взял и сам улучшил систему. Разве трейдеры не могут работать посменно, почему тогда права доступа в коде не могут обновляться по очереди? Наша команда решила внедрить в систему автоматическую ротацию сессий — проще говоря, регулярно обновлять интерфейсные сертификаты, чтобы каждый раз был новый временный пропуск, и даже если хакер украдёт старый, он будет бесполезен.
Ключевая ротация — это ретроспектива, но, к счастью, ничего серьёзного не произошло
Учетные данные API следует регулярно обновлять, а автоматический механизм вращения надёжно
Этот список призраков действительно пугает, к счастью, их количество небольшое, иначе кровь рухнет
Удача — естественный враг торговли, и ещё не поздно проснуться
Каждый раз, когда ключ новый, каким бы крутым ни был хакер, это напрасно
Регулярная ротация ключей — это то, чему мне нужно научиться, чувствую, что я тоже играю в азарт
Новый парень одним предложением заставил всех замолчать, это действительно настоящий прорыв
Механизм автоматической ротации сессий звучит неплохо, но на практике его внедрение, наверное, тоже потребует времени
Уверенность в удаче действительно убивает, если бы та необъяснимая сделка была побольше, играть было бы невозможно
真的,密钥这种东西就跟密码一样,定期轮换才是正道,放那儿不动就是在作死
自动轮换机制确实绝,省得老得手动改,系统自己刷新权限舒服多了
这波操作还是学到了,看来security这块不能偷懒啊各位
话说有多少团队还在用过期凭证来着,一声叹气
API那破玩意儿真的,大多数人就是设好密钥然后一放就是半年...我也犯过这毛病
小老弟一句话戳中要害,难怪整个群都沉默了哈哈
这套自动轮换机制思路不错,就是实施起来得改不少代码,有点烦
幸亏金额小,不然这教训可就贵了
密钥管理这事儿说起来容易做起来真的没几个人上心,我现在也是被打怕了
这种莫名其妙的成交记录出现一次就够膈应的了,警惕心得提起来
Черт возьми, именно поэтому я никогда не верил в "безопасность" обменников
Маленький брат одним предложением попал в точку, это действительно понимание
Регулярная ротация сессионных токенов — действительно крутая идея, она напрямую закрывает путь для старых ключей
На мой взгляд, большинство людей просто полагаются на удачу, и только когда случается беда, начинают сожалеть
Кстати, а сколько команд действительно осмелятся так обновлять систему?
Поменяйся местами, и поймешь, что если хакер получит просроченные токены, они станут бесполезной бумагой, это очень жестко
На этот раз повезло, потерял немного, а в следующий раз? Даже страшно представить
На самом деле, эта автоматическая система ротации давно должна была быть внедрена, зачем ждать беды
Автоматическая ротация — это гениально, гораздо лучше, чем держать один ключ
Честно говоря, та таинственная сделка вызвала страх, а что если сумма будет побольше
Управление ключами действительно самое легко игнорируемое, все думают, что шифрование — и всё
Регулярное обновление прав — эта идея давно должна была стать популярной, лень убивает людей
Честно говоря, я давно предлагал внедрить механизм ротации сессий, но всегда находились люди, считающие это хлопотно, а теперь, наверное, их уже поучили
Та странная запись о сделке на самом деле сигнал, ураган уже на горизонте, большинство команд игнорируют это, а потом их ждет расплата
Автоматизация обновления прав доступа сделана хорошо, по крайней мере, она может снизить уровень риска, иначе каждый раз как игра в вероятность