直接说结论:币安 API Key 不用了一定要在「API 管理」页面删除而不是「禁用」,删除是不可逆的,禁用还能被人重新启用。删完后顺便检查一下账户登录设备和最近 API 调用记录。需要登录账户去操作的话,从 币安官网 进入;APP 用户安卓走 币安官方APP,苹果用户参考 iOS安装教程 下载。

币安账户被盗事件中约 30% 是通过 API Key 而不是直接登录密码实现的。用户用过 BOT、量化平台、跟单工具后忘记删 API,等于给账户开了一个永久的后门。本文讲清楚怎么彻底清理。

为什么必须删 API 而不是禁用

币安提供两种 API 状态管理:

操作 是否可恢复 安全等级
禁用 API 可恢复
删除 API 不可恢复

禁用只是临时关掉,账户被盗后黑客重新启用即可。删除则是从数据库里抹除这个 Key,黑客没办法把已删除的 Key 复活。

所以原则是:短期不用就禁用,永久不用就删除。如果你确认这个 API 以后不会再用了,没必要留着。

删除 API 的步骤

第一步:进入 API 管理页面

登录币安账户后:

  • 网页端路径:账户 → API 管理
  • APP 端路径:账户 → 设置 → API 管理

页面会列出所有创建过的 API Key。每个 Key 显示:

  • 名称(创建时起的)
  • 创建时间
  • 权限范围(读取 / 现货交易 / 合约 / 提币)
  • 最后使用时间

第二步:检查每个 API 的最近使用情况

如果某个 API 最后使用时间超过 30 天前,基本可以认定是不再使用的。但要先确认这个 API 没有跑长期策略:

  • 量化交易 BOT:可能每天都在调用
  • 跟单工具:跟单期间持续调用
  • 报税软件:每月或每季度调用一次

不确定的话先禁用观察一周,没有任何业务报错再删除。

第三步:执行删除

找到要删的 Key → 点击「删除」按钮。系统要求三重验证:

  • 邮箱验证码
  • Google Authenticator 6 位动态码
  • 手机短信码(如果绑定)

三码齐全后 Key 立即删除,无法恢复

第四步:检查删除是否成功

刷新页面,确认列表里这个 Key 已经消失。被禁用的 Key 还会显示在列表里(标灰),删除后则完全不见。

哪些情况下应该立刻删 API

无论是否在用,遇到这几种情况立刻删:

情况 1:API Secret 不小心传到了 GitHub

GitHub 公开仓库里包含 API Secret 的代码会被自动扫描。攻击者每天写脚本爬 GitHub 找泄露的 Key,几分钟内就会被扫到。一旦 Secret 泄露:

  • 立刻删除币安那个 Key
  • 创建新 Key 时不勾选「允许提币」
  • 设置 IP 白名单
  • 把含 Secret 的代码移到 .gitignore 或用环境变量

情况 2:用过的量化平台跑路或被盗

某些第三方量化平台(如 3Commas、Pionex 等)如果出现安全事件:

  • 平台被盗:黑客可能拿到所有用户的 API Key
  • 平台跑路:跑路前可能恶意操作用户账户

不论什么平台,一旦不再使用就立刻删 API,不要给前任服务商留权限。

情况 3:跟单 / 复制交易终止

跟单服务期满或主动终止跟单后,跟单方持有的 API Key 仍然有效。不主动删除等于继续给对方权限,对方可以继续看你的余额和交易记录。

情况 4:发现陌生的 API Key

进入 API 管理时如果看到自己没创建过的 Key,立刻删除并紧急排查:

  • 改密码
  • 重置 2FA
  • 登出所有设备
  • 启用账户冻结

这是账户已被入侵的明确信号。

API 安全配置最佳实践

如果还要继续用某些 API(比如量化策略),做好这几条防护:

第一条:永远不勾选「允许提币」权限

币安 API 创建时有 4 个权限选项:

权限 用途 推荐勾选
启用读取 查询账户、订单
启用现货 / 合约交易 下单、撤单 视需要
启用提币 把币转出 永不勾选
启用万向转账 子账户间划转 视需要

只要不勾「允许提币」,API 被盗黑客也提不走币——他们只能下单乱搞,但所有币还在你的币安账户内。这是最关键的一条防御线。

第二条:设置 IP 白名单

API 创建时可以指定哪些 IP 允许调用。设置后:

  • 只有白名单 IP 能调用这个 API
  • 其他 IP 调用直接返回 403 错误

适用场景:

  • 量化策略跑在固定 VPS 上,加 VPS IP
  • 自己电脑长期用同一 IP,加自己 IP

不适用场景:

  • 移动设备频繁切换网络
  • VPN 跳来跳去

第三条:每个 API 单独用途

不要一个 API Key 同时给多个工具用。每个工具创建独立 Key,出问题时只需要删一个不影响其他。命名时清晰标注:

  • 「3Commas-现货」
  • 「PionexBot-合约」
  • 「税务报表-只读」

第四条:定期轮换

每 6-12 个月主动更换一次 API Key:

  • 删除旧 Key
  • 创建同名新 Key
  • 在工具里更新 Secret

频繁轮换降低长期持有 Key 被泄露的风险。

删除 API 后的事后检查

删完 API 还要做几件检查工作:

  • 看交易记录:最近 30 天有没有自己不认识的下单
  • 看资产变动:余额是不是和预期一致
  • 看 OTC 订单:有没有异常的 P2P 单子
  • 看账户日志:账户 → 安全 → 安全日志,看 API 操作记录

如果发现任何异常,立刻冻结账户。

常见问题 FAQ

Q:能批量删除多个 API 吗?

不能。币安要求每个 API 单独执行删除并完成 2FA 验证。这是安全设计,防止误操作或被自动化脚本批量删除合法 Key。

Q:删除 API 会影响账户里的资产吗?

完全不影响。API Key 只是一个权限凭证,删除它不会改变任何资产、订单、历史记录。

Q:删除 API 之后正在跑的订单怎么办?

正在挂单的订单不受 API 删除影响——订单已经在币安服务器上,继续按原条件执行。但工具不能再通过这个 API 撤单或修改订单,需要登录账户手动处理。

Q:能查到 API 历史调用记录吗?

可以。账户 → 安全 → 安全日志里有所有 API 调用日志,包括 IP、时间、操作类型。怀疑 API 被盗就先看这里

Q:API 数量有上限吗?

普通用户最多 30 个有效 API Key。VIP 用户上限更高。删除已不用的 Key 能为新工具腾出额度。

Q:误删了 API 怎么办?

删除是永久的,不能恢复。但可以立刻创建一个新 Key 并起相同名字,重新配置权限和白名单。然后在第三方工具里把新 Key 和 Secret 更新进去即可。

Q:API Key 和 Secret 哪个更敏感?

两者都很敏感,但 Secret 更不能泄露。Key 类似账号,Secret 类似密码。Key 在网络请求中会被传输(虽然加密),Secret 永远不传输,只在本地用于签名。Secret 一旦泄露就等于 Key 失控。

总结

币安 API 不用了立刻删除,不要用「禁用」拖着。删之前确认它不在跑长期任务,删之后检查账户最近 30 天的异常活动。还在用的 API绝对不要勾「允许提币」权限,配上 IP 白名单是最稳的组合。每 6-12 个月主动轮换一次 API Key,长期降低被攻击风险。