2025-12-25 06:26:57

في ظهر يوم الأحد، بدا كل شيء هادئًا جدًا. السوق كان غير متحمس، والدردشات في مجموعة التواصل كانت نشطة جدًا، وبرنامج التداول الآلي الخاص بنا يعمل بشكل طبيعي — يجمع البيانات، يضع أوامر صغيرة، يكتب السجلات. فجأة، ظهرت سجل صفقة على واجهة التداول، والحساب ينتمي إلينا، لكننا لم نقم بأي عملية. على الرغم من أن المبلغ ليس كبيرًا، إلا أن الشعور كان كأنك تسمع خطوات غريبة في المنزل في منتصف الليل — توتر كامل في الجسم في لحظة واحدة.

على الفور، انفجر بعض الأشخاص في الحديث. بعضهم اعتقد أن مفتاح API قد تم تسريبه، وآخرون شككوا في وجود مشكلة في نظام البورصة، ولم تتوصل المناقشات الحادة إلى نتيجة. وفي خضم الجدال، سأل الشاب الجديد بصوت منخفض: "لقد استخدمنا مفتاحنا هذا لأكثر من شهر، ولم نقم بتغييره أبدًا؟"
في لحظة، سكت الجميع.
في عالم تداول الأصول الرقمية، غالبًا ما نعتبر مفتاح API بمثابة مفتاح الباب — نخبئه ونظن أنه لا يمكن اختراقه. لكن في الواقع، مجرد إخفائه غير كافٍ. خاصة عند استخدام واجهات التداول الرئيسية، فإن الجلسة (session) هي في الحقيقة شهادة مؤقتة ذات صلاحية، تشبه تصريح مرور صالح، وتؤكد أن روبوتك لديه صلاحية لإجراء التداولات. إذا كانت مدة صلاحية هذه الشهادة طويلة جدًا، فبمجرد سرقتها أو تسريبها، ستكون العواقب وخيمة جدًا. تلك الصفقة الغامضة كانت بمثابة إشارة تحذير، ونحن هنا محظوظون نسبياً، حيث لم تكن الخسائر كبيرة. لكن المرة القادمة، ماذا لو كانت الخسائر أكبر؟ لا يمكن المجازفة بمثل هذا التفكير.
منذ ذلك اليوم، قررت أن أحل هذه المشكلة بشكل نهائي. في البداية لم أفهم لماذا يجب فعل ذلك، ثم شعرت بالغضب، وأخيرًا قررت أن أغير النظام بنفسي. بما أن المتداولين يمكنهم التناوب على العمل، فلماذا لا يمكن للرموز البرمجية أن تتغير صلاحيتها بشكل دوري؟ قرر فريقنا إضافة آلية تدوير تلقائي للجلسة في النظام — ببساطة، جعل توثيق الواجهة يتجدد بشكل دوري، وكل مرة يكون تصريح مرور جديد مؤقت، حتى لو حصل عليها الهاكرز، فإنها لن تكون ذات فائدة.

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 10

أعجبني
10
6
إعادة النشر
مشاركة

تعليق

0/400

SerumSquirrel

· منذ 11 س

卧槽这故事太真实了，一个多月没换密钥确实离谱密钥定期轮换这个我得学一下，感觉自己也在赌运气新来的小伙子一句话让所有人闭嘴，这才是真正的破局会话自动轮换机制听起来不错，但实际部署起来是不是还要折腾一阵侥幸心理确实杀人，那笔莫名交易要是大点真就玩不起

رد0

CodeSmellHunter

· منذ 11 س

يا إلهي، لم تغير المفتاح منذ شهر؟ كم هو غير محترف، لا عجب أن تم سرقتك حقًا، المفتاح مثل كلمة المرور، التغيير المنتظم هو الطريق الصحيح، تركه بدون تغيير هو بمثابة المخاطرة بالموت آلية التغيير التلقائي فعلاً رائعة، توفر عناء التغيير اليدوي، والنظام يقوم بتحديث الأذونات بنفسه، الأمر أكثر راحة هذه المرة تعلمت درسًا، يبدو أن قسم الأمان لا يمكن أن يتكاسل، يا جماعة على فكرة، كم فريق لا يزال يستخدم شهادات منتهية الصلاحية، تنهدة عميقة

شاهد النسخة الأصليةرد0

SigmaBrain

· منذ 11 س

يا إلهي، لقد رأيت شيئًا مشابهًا من قبل، عدم تغيير المفتاح مثل عدم تغيير قفل الباب لمدة شهر، في النهاية ستحدث مشكلة هذه الأداة السيئة لـ API حقًا، معظم الناس يضعون المفتاح ثم يتركونه لمدة نصف سنة... لقد وقعت في نفس الخطأ كلمة صغيرة من الأخ الصغير أصابت الهدف، لا عجب أن المجموعة بأكملها صامتة هههه فكرة آلية التغيير التلقائي هذه جيدة، لكن تنفيذها يتطلب تعديل الكثير من الكود، وهو أمر مزعج بعض الشيء لحسن الحظ المبلغ صغير، وإلا كانت الدروس ستكلف أكثر إدارة المفاتيح، من السهل قولها ولكن في الواقع لا يهتم بها الكثيرون، وأنا الآن أيضًا خائف من ذلك هذه السجلات الغريبة للصفقات تظهر مرة واحدة فقط وتكون مزعجة جدًا، ويجب أن نكون حذرين أكثر

شاهد النسخة الأصليةرد0

AlphaWhisperer

· منذ 11 س

واو، لم تغير المفتاح منذ أكثر من شهر؟ كم أنت مشغول جدًا اللعنة، هذا هو السبب في أنني لا أصدق أبدًا وعود "الأمان" من البورصات قال الشاب كلمة أصابت الهدف، هذا هو الفهم الحقيقي تبديل شهادات الجلسة بشكل دوري هو فكرة قوية، حيث يقفل الباب أمام المفاتيح القديمة لو كنت مكانك، فإن معظم الناس يظنون أن الأمور ستسير على ما يرام، ويشعرون بالندم فقط عندما يحدث شيء بالحديث عن ذلك، كم فريق يجرؤ حقًا على ترقية النظام بهذه الطريقة؟ تخيل، إذا حصل الهاكر على شهادة منتهية الصلاحية، فهي لا تساوي شيئًا، هذا مؤلم جدًا هذه المرة كانت الحظوظ جيدة ولم يخسر الكثير، وماذا عن المرات القادمة؟ لا أجرؤ على التفكير في الواقع، كان من المفترض أن يتم تنفيذ آلية التبديل التلقائي منذ زمن، فلماذا الانتظار حتى يحدث شيء

شاهد النسخة الأصليةرد0

RugResistant

· منذ 12 س

يا إلهي، هل لم تغير المفتاح منذ أكثر من شهر؟ كم هو قاسي ذلك، يستحق أن تتفاجأ به التدوير التلقائي رائع، أفضل بكثير من أن يحتفظ معظم الناس بمفتاح واحد بالصراحة، تلك المعاملة الشبحية كانت مخيفة، ماذا لو كانت المبالغ أكبر؟ إدارة المفاتيح فعلاً هي الجزء الذي يُغفل بسهولة، يظن الجميع أن التشفير يكفي تحديث الصلاحيات بشكل دوري كان من المفترض أن يُروج له منذ زمن، الكسل يقتل الناس

شاهد النسخة الأصليةرد0

TokenStorm

· منذ 12 س

تباً، شهر كامل بدون تغيير المفتاح؟ أليس هذا انتظار الموت، البيانات على السلسلة كانت تظهر منذ زمن أن هذا الضعف يتكرر سنويًا، وما زلنا نائمين بصراحة، لقد اقترحت منذ زمن أن آلية تبديل الجلسة هذه منطقية، لكن دائمًا هناك من يعتقد أنها متعبة، والنتيجة الآن أنتم تتعلمون الدرس في الواقع، سجل المعاملات الغريبة هذا هو إشارة، عين العاصفة أمامنا، معظم الفرق تختار تجاهل الأمر، ثم تتعرض للحصاد تم تحسين تحديث الأذونات الآلي، على الأقل يمكن أن يقلل من مستوى المخاطر، وإلا فكل مرة كأنك تلعب لعبة الاحتمالات

شاهد النسخة الأصليةرد0