直接说结论:币安 API Key 不用了一定要在「API 管理」页面删除而不是「禁用」,删除是不可逆的,禁用还能被人重新启用。删完后顺便检查一下账户登录设备和最近 API 调用记录。需要登录账户去操作的话,从 币安官网 进入;APP 用户安卓走 币安官方APP,苹果用户参考 iOS安装教程 下载。
币安账户被盗事件中约 30% 是通过 API Key 而不是直接登录密码实现的。用户用过 BOT、量化平台、跟单工具后忘记删 API,等于给账户开了一个永久的后门。本文讲清楚怎么彻底清理。
为什么必须删 API 而不是禁用
币安提供两种 API 状态管理:
| 操作 | 是否可恢复 | 安全等级 |
|---|---|---|
| 禁用 API | 可恢复 | 低 |
| 删除 API | 不可恢复 | 高 |
禁用只是临时关掉,账户被盗后黑客重新启用即可。删除则是从数据库里抹除这个 Key,黑客没办法把已删除的 Key 复活。
所以原则是:短期不用就禁用,永久不用就删除。如果你确认这个 API 以后不会再用了,没必要留着。
删除 API 的步骤
第一步:进入 API 管理页面
登录币安账户后:
- 网页端路径:账户 → API 管理
- APP 端路径:账户 → 设置 → API 管理
页面会列出所有创建过的 API Key。每个 Key 显示:
- 名称(创建时起的)
- 创建时间
- 权限范围(读取 / 现货交易 / 合约 / 提币)
- 最后使用时间
第二步:检查每个 API 的最近使用情况
如果某个 API 最后使用时间超过 30 天前,基本可以认定是不再使用的。但要先确认这个 API 没有跑长期策略:
- 量化交易 BOT:可能每天都在调用
- 跟单工具:跟单期间持续调用
- 报税软件:每月或每季度调用一次
不确定的话先禁用观察一周,没有任何业务报错再删除。
第三步:执行删除
找到要删的 Key → 点击「删除」按钮。系统要求三重验证:
- 邮箱验证码
- Google Authenticator 6 位动态码
- 手机短信码(如果绑定)
三码齐全后 Key 立即删除,无法恢复。
第四步:检查删除是否成功
刷新页面,确认列表里这个 Key 已经消失。被禁用的 Key 还会显示在列表里(标灰),删除后则完全不见。
哪些情况下应该立刻删 API
无论是否在用,遇到这几种情况立刻删:
情况 1:API Secret 不小心传到了 GitHub
GitHub 公开仓库里包含 API Secret 的代码会被自动扫描。攻击者每天写脚本爬 GitHub 找泄露的 Key,几分钟内就会被扫到。一旦 Secret 泄露:
- 立刻删除币安那个 Key
- 创建新 Key 时不勾选「允许提币」
- 设置 IP 白名单
- 把含 Secret 的代码移到 .gitignore 或用环境变量
情况 2:用过的量化平台跑路或被盗
某些第三方量化平台(如 3Commas、Pionex 等)如果出现安全事件:
- 平台被盗:黑客可能拿到所有用户的 API Key
- 平台跑路:跑路前可能恶意操作用户账户
不论什么平台,一旦不再使用就立刻删 API,不要给前任服务商留权限。
情况 3:跟单 / 复制交易终止
跟单服务期满或主动终止跟单后,跟单方持有的 API Key 仍然有效。不主动删除等于继续给对方权限,对方可以继续看你的余额和交易记录。
情况 4:发现陌生的 API Key
进入 API 管理时如果看到自己没创建过的 Key,立刻删除并紧急排查:
- 改密码
- 重置 2FA
- 登出所有设备
- 启用账户冻结
这是账户已被入侵的明确信号。
API 安全配置最佳实践
如果还要继续用某些 API(比如量化策略),做好这几条防护:
第一条:永远不勾选「允许提币」权限
币安 API 创建时有 4 个权限选项:
| 权限 | 用途 | 推荐勾选 |
|---|---|---|
| 启用读取 | 查询账户、订单 | 是 |
| 启用现货 / 合约交易 | 下单、撤单 | 视需要 |
| 启用提币 | 把币转出 | 永不勾选 |
| 启用万向转账 | 子账户间划转 | 视需要 |
只要不勾「允许提币」,API 被盗黑客也提不走币——他们只能下单乱搞,但所有币还在你的币安账户内。这是最关键的一条防御线。
第二条:设置 IP 白名单
API 创建时可以指定哪些 IP 允许调用。设置后:
- 只有白名单 IP 能调用这个 API
- 其他 IP 调用直接返回 403 错误
适用场景:
- 量化策略跑在固定 VPS 上,加 VPS IP
- 自己电脑长期用同一 IP,加自己 IP
不适用场景:
- 移动设备频繁切换网络
- VPN 跳来跳去
第三条:每个 API 单独用途
不要一个 API Key 同时给多个工具用。每个工具创建独立 Key,出问题时只需要删一个不影响其他。命名时清晰标注:
- 「3Commas-现货」
- 「PionexBot-合约」
- 「税务报表-只读」
第四条:定期轮换
每 6-12 个月主动更换一次 API Key:
- 删除旧 Key
- 创建同名新 Key
- 在工具里更新 Secret
频繁轮换降低长期持有 Key 被泄露的风险。
删除 API 后的事后检查
删完 API 还要做几件检查工作:
- 看交易记录:最近 30 天有没有自己不认识的下单
- 看资产变动:余额是不是和预期一致
- 看 OTC 订单:有没有异常的 P2P 单子
- 看账户日志:账户 → 安全 → 安全日志,看 API 操作记录
如果发现任何异常,立刻冻结账户。
常见问题 FAQ
Q:能批量删除多个 API 吗?
不能。币安要求每个 API 单独执行删除并完成 2FA 验证。这是安全设计,防止误操作或被自动化脚本批量删除合法 Key。
Q:删除 API 会影响账户里的资产吗?
完全不影响。API Key 只是一个权限凭证,删除它不会改变任何资产、订单、历史记录。
Q:删除 API 之后正在跑的订单怎么办?
正在挂单的订单不受 API 删除影响——订单已经在币安服务器上,继续按原条件执行。但工具不能再通过这个 API 撤单或修改订单,需要登录账户手动处理。
Q:能查到 API 历史调用记录吗?
可以。账户 → 安全 → 安全日志里有所有 API 调用日志,包括 IP、时间、操作类型。怀疑 API 被盗就先看这里。
Q:API 数量有上限吗?
普通用户最多 30 个有效 API Key。VIP 用户上限更高。删除已不用的 Key 能为新工具腾出额度。
Q:误删了 API 怎么办?
删除是永久的,不能恢复。但可以立刻创建一个新 Key 并起相同名字,重新配置权限和白名单。然后在第三方工具里把新 Key 和 Secret 更新进去即可。
Q:API Key 和 Secret 哪个更敏感?
两者都很敏感,但 Secret 更不能泄露。Key 类似账号,Secret 类似密码。Key 在网络请求中会被传输(虽然加密),Secret 永远不传输,只在本地用于签名。Secret 一旦泄露就等于 Key 失控。
总结
币安 API 不用了立刻删除,不要用「禁用」拖着。删之前确认它不在跑长期任务,删之后检查账户最近 30 天的异常活动。还在用的 API绝对不要勾「允许提币」权限,配上 IP 白名单是最稳的组合。每 6-12 个月主动轮换一次 API Key,长期降低被攻击风险。