vi8 min read

Bot P2P có an toàn không? Sự thật về khóa API và bảo mật

Giải thích rõ ràng về bảo mật bot P2P: khóa API cần quyền gì, không thể làm gì, và Pilotbot bảo vệ thông tin đăng nhập của bạn như thế nào bằng mã hóa AES-256.

P

Pilotbot Team

Author

Read in:EnglishEspañolPortuguêsTiếng Việt
On this page

Câu trả lời ngắn gọn: Có — nếu bạn cấu hình khóa API đúng cách (chỉ quyền quản lý quảng cáo, không có quyền rút tiền), bot P2P không thể di chuyển quỹ của bạn. Tiền của bạn vẫn nằm trong tài khoản sàn giao dịch. Khóa chỉ có thể hướng dẫn sàn cập nhật giá quảng cáo, đọc dữ liệu thị trường và kiểm tra trạng thái lệnh.

Khóa API thực sự kiểm soát gì

Khóa API của sàn giao dịch không phải là mật khẩu tổng. Đây là một tập hợp quyền có phạm vi. Bạn quyết định khóa có những khả năng nào khi tạo nó. Sàn giao dịch thực thi các quyền này ở cấp độ máy chủ — không ứng dụng nào có thể vượt quá quyền bạn đã cấp, bất kể mã nào nó chạy.

Đối với bot P2P, bạn chỉ cần đúng hai quyền:

QuyềnChức năng
Đọc (Read)Xem thông tin tài khoản, giá quảng cáo, lịch sử lệnh, cặp giao dịch
Quản lý quảng cáo P2PTạo, cập nhật và tạm dừng quảng cáo P2P

Chỉ vậy thôi. Mọi thứ khác — giao dịch spot, hợp đồng tương lai, rút tiền, margin — có thể và nên để tắt.

Bot P2P không thể làm gì với khóa được cấu hình đúng

Chỉ với Read + Quản lý quảng cáo P2P được bật, khóa API:

  • Không thể rút tiền. Rút tiền yêu cầu quyền riêng biệt (Rút tiền hoặc Chuyển tiền). Nếu bạn không bật nó, không phần mềm nào có thể kích hoạt việc rút tiền bằng khóa đó.
  • Không thể đặt lệnh spot hoặc hợp đồng tương lai. Những lệnh này yêu cầu quyền Giao dịch Spot hoặc Giao dịch Hợp đồng.
  • Không thể truy cập bảng phân tích số dư ngoài những gì cần thiết cho quản lý quảng cáo.
  • Không thể thay đổi cài đặt tài khoản, email, xác thực hai yếu tố hoặc cấu hình bảo mật.

Đây không phải chính sách mà Pilotbot thực thi — mà là chính sách do Binance và Bybit thực thi ở cấp API. Ngay cả khi máy chủ của Pilotbot bị xâm phạm hoàn toàn, các khóa API cũng không thể được sử dụng để rút cạn quỹ.

Cách tạo khóa API đúng phạm vi

Trên Binance

  1. Vào Tài khoản → Quản lý API → Tạo API.
  2. Đặt tên dễ nhận biết, ví dụ "Pilotbot P2P".
  3. Bật: Cho phép Đọc + Giao dịch P2P (quản lý quảng cáo).
  4. Để tắt: Rút tiền, Chuyển tiền nội bộ, Chuyển tiền chung.
  5. Đặt Hạn chế IP nếu có (tùy chọn nhưng thêm một lớp bảo vệ).

Trên Bybit

  1. Vào Tài khoản → API → Tạo khóa mới.
  2. Chọn: Khóa API do hệ thống tạo.
  3. Quyền: bật P2P (đọc + quản lý quảng cáo). Để tắt tất cả phần còn lại.
  4. Tùy chọn: giới hạn theo địa chỉ IP cụ thể.

Pilotbot lưu trữ khóa API của bạn như thế nào

Pilotbot không bao giờ lưu khóa API hoặc secret của bạn dưới dạng văn bản thuần. Quy trình lưu trữ:

  1. Trong quá trình truyền: Khóa API được gửi qua HTTPS (TLS 1.3). Chúng không bao giờ được truyền dưới dạng văn bản thuần.
  2. Khi lưu trữ — mã hóa: Mỗi khóa được mã hóa bằng AES-256-GCM (Tiêu chuẩn mã hóa nâng cao, khóa 256-bit, chế độ Galois/Counter) trước khi ghi vào cơ sở dữ liệu. AES-256 là tiêu chuẩn mã hóa tương tự được sử dụng bởi các tổ chức tài chính và chính phủ trên toàn thế giới.
  3. Quản lý khóa mã hóa: Các khóa mã hóa được lưu trữ riêng biệt với cơ sở dữ liệu, sử dụng quản lý bí mật ở cấp môi trường. Chỉ truy cập cơ sở dữ liệu thôi không cung cấp cho bạn thông tin xác thực API ở dạng văn bản thuần.
  4. Không ghi nhật ký: Khóa API không bao giờ được ghi vào nhật ký ứng dụng. Ngay cả ở chế độ gỡ lỗi, khóa được thay thế bằng trình giữ chỗ được che (ví dụ: •••••YzK).

Kết quả: ngay cả nếu cơ sở dữ liệu bị truy cập trái phép, họ sẽ thấy văn bản mã hóa — không phải thông tin xác thực API thực tế của bạn.

Các biện pháp bảo mật bổ sung nên áp dụng

Bật danh sách trắng IP trên khóa API của bạn

Cả Binance và Bybit đều cho phép bạn giới hạn khóa API chỉ với các địa chỉ IP cụ thể. Nếu bạn thêm IP máy chủ của Pilotbot vào danh sách trắng, khóa trở nên vô dụng với bất kỳ ai khác.

Để tìm IP máy chủ cần thêm vào whitelist: kiểm tra phần Exchange Accounts trong bảng điều khiển Pilotbot của bạn.

Sử dụng tài khoản phụ chuyên dụng (Tùy chọn)

Một số người bán khối lượng cao tạo tài khoản phụ chuyên dụng (được hỗ trợ trên Binance) dành riêng cho tự động hóa P2P. Điều này cô lập hoạt động của bot khỏi tài khoản chính và giúp thu hồi quyền truy cập dễ dàng.

Xoay vòng khóa định kỳ

Phương pháp hay nhất là xoay vòng khóa API mỗi 90 ngày. Tạo khóa mới, cập nhật trong bảng điều khiển Pilotbot, và thu hồi khóa cũ. Điều này giới hạn thời gian phơi bày nếu khóa bị xâm phạm.

Theo dõi hoạt động API trong nhật ký sàn

Cả Binance và Bybit đều cung cấp nhật ký lịch sử cuộc gọi API. Xem xét nhật ký này định kỳ cho phép bạn xác nhận rằng khóa chỉ được sử dụng cho các hoạt động bạn mong đợi.

Pilotbot KHÔNG làm gì

Để nói rõ ràng về phạm vi:

  • Pilotbot không thực hiện giao dịch spot thay mặt bạn.
  • Pilotbot không di chuyển quỹ giữa các tài khoản hoặc đến địa chỉ bên ngoài.
  • Pilotbot không lưu mật khẩu sàn giao dịch của bạn — chỉ cặp khóa API/secret.
  • Pilotbot không chia sẻ thông tin xác thực API của bạn với bên thứ ba.
  • Pilotbot không truy cập vị thế hợp đồng tương lai, margin hoặc cho vay của bạn.

Chức năng duy nhất của nền tảng là cập nhật giá quảng cáo P2P và đọc dữ liệu thị trường để xác định giá đó nên là bao nhiêu.

Tại sao một số người dùng vẫn thận trọng — và điều đó hợp lý

Ngay cả với tất cả các biện pháp bảo vệ kỹ thuật trên, việc cấp cho bất kỳ ứng dụng bên thứ ba nào quyền truy cập vào tài khoản sàn giao dịch đều liên quan đến sự tin tưởng. Đây là quan điểm hợp lý. Dưới đây là những câu hỏi cần đặt ra trước khi kết nối bất kỳ bot nào:

  1. Khóa có được cấu hình phạm vi tối thiểu không? Chỉ những quyền bot cần, không có gì khác.
  2. Nền tảng có mã hóa khóa khi lưu trữ không? Pilotbot sử dụng AES-256-GCM.
  3. Có tổng quan bảo mật công khai không? Xem pilotbot.net/security-overview để biết tài liệu đầy đủ.
  4. Bạn có thể thu hồi quyền truy cập ngay lập tức không? Có — xóa khóa API khỏi sàn của bạn bất kỳ lúc nào.

FAQ

Pilotbot có thể thấy số dư tài khoản đầy đủ của tôi không? Quyền Đọc cho phép Pilotbot xem thông tin số dư liên quan đến P2P cần thiết cho quản lý quảng cáo. Nó không thể xem vị thế spot, hợp đồng tương lai hoặc phái sinh trừ khi các quyền đó cũng được cấp (mà chúng không nên).

Nếu tôi vô tình cấp quyền rút tiền thì sao? Hãy thu hồi khóa ngay lập tức và tạo khóa mới với các quyền đúng. Kết nối của Pilotbot với khóa cũ bị cắt đứt ngay khi bạn xóa nó ở phía sàn.

Pilotbot lưu trữ khóa của tôi mãi mãi không? Khóa của bạn được lưu trữ miễn là tài khoản sàn được kết nối trong Pilotbot. Bạn có thể xóa nó bất kỳ lúc nào từ bảng điều khiển Exchange Accounts — thao tác này kích hoạt xóa thông tin xác thực mã hóa khỏi cơ sở dữ liệu của chúng tôi.

Pilotbot sử dụng mã hóa gì? AES-256-GCM. Đây là thuật toán mã hóa đối xứng xác thực với khóa 256-bit, được coi là không thể phá vỡ với công nghệ hiện tại. Cùng tiêu chuẩn được các ngân hàng, chính phủ và nhà cung cấp đám mây sử dụng để bảo vệ dữ liệu nhạy cảm.

Có thêm câu hỏi? Liên hệ với chúng tôi hoặc đọc tổng quan bảo mật.

Dùng thử miễn phí — không cần thẻ tín dụng

Back to Blog
Share:XTelegram

Ready to automate your P2P trading?

Start your 14-day free trial. No credit card required.

Get started free

Keep reading

vi8 min read

Tỷ lệ hoàn thành P2P ảnh hưởng vị trí quảng cáo như thế nào (và cách cải thiện)

vi8 min read

Binance P2P hay Bybit P2P: Nên tự động hóa cái nào trước?

vi9 min read

Chiến lược giá P2P cho người bán: 5 cách tiếp cận thực tế