Назад к списку блога

Почему некастодиальные торговые ИИ-боты безопаснее: разбираем Read-Only API

Fees & Risk
C
CoinTech2u
Колумнист сообщества CoinTech2u
Технический разбор в пользу некастодиальных ИИ-ботов — как работают API в режимах Read-Only и Trade-Only, почему белый список IP блокирует украденные ключи и почему OAuth (Fast API) безопаснее ручных учётных данных. Подтверждено производственными данными CoinTech2u: работа с 2022 года в 150+ странах, при этом на хранении не находилось ни цента ($0) торгового капитала пользователей.

Почему некастодиальные торговые ИИ-системы безопаснее: объясняем Read-Only API

Технические причины, по которым ваши деньги в большей безопасности, когда бот к ним вообще не прикасается, — и что на самом деле означает «некастодиальный»

FTX хранила ваши средства. Celsius хранила ваши средства. Mt. Gox хранила ваши средства. Общий знаменатель каждого крупного случая потери криптоактивов за последнее десятилетие — кастодиальное хранение. Некастодиальная торговая ИИ-система полностью устраняет этот фактор.

«Безопасна ли эта торговая ИИ-система?» — самый важный вопрос, который вы можете задать, и при этом самый неверно понимаемый. Ответ не зависит от маркетинговых заявлений или расплывчатых формулировок про «безопасность банковского уровня». Он зависит от единственного архитектурного решения: прикасается ли система вообще когда-либо к вашим деньгам, или нет?

Это руководство разбирает техническую разницу между кастодиальными и некастодиальными системами, объясняет, как работают Read-Only и Trade-Only API, и показывает, как архитектура CoinTech2u делает структурно невозможным перемещение средств пользователей, даже если бы сама платформа была скомпрометирована.

1. Единственный вопрос, который имеет значение: у кого находятся ваши деньги?

Модель Где находятся ваши средства Если бота взломали Если бот исчезнет
Кастодиальный бот На серверах / кошельках бота Злоумышленники могут вывести всё Ваши средства исчезают вместе с ним
Некастодиальный бот В вашем собственном аккаунте на бирже Белый список адресов биржи + IP-белый список блокируют внешний вывод средств Вы отзываете API-ключ; средства остаются на месте

В кастодиальной модели вы вносите средства на кошелёк бота, и бот торгует от вашего имени. Это была модель FTX, модель Celsius и модель провалившихся ботов-платформ. Когда контрагент терпит крах — будь то из-за взлома, банкротства или ухода с рынка, — ваши деньги пропадают.

В некастодиальной модели ваши средства всё время остаются внутри вашего собственного аккаунта на Binance / ByBit / OKX / Bitget. Бот подключается через API-ключ с тщательно ограниченными правами и использует эндпоинты внутренних переводов (между вашими кошельками Trading и Funding) для операций по защите прибыли. Средства никогда не покидают ваш аккаунт на бирже, а внешний вывод на адреса, контролируемые злоумышленниками, блокируется на уровне биржи и сети.

2. Права API — анатомия безопасного подключения

Каждая крупная криптобиржа позволяет создавать API-ключи с определёнными правами. Большинство бирж предлагают три независимых права:

Read (только чтение)

Позволяет боту видеть балансы, позиции, историю ордеров. Не может выставлять сделки. Не может перемещать средства. Используется для мониторинга и сверки.

Trade (торговля на споте / фьючерсах)

Позволяет боту открывать и закрывать позиции, устанавливать стоп-лосс, менять кредитное плечо. Не может переводить средства. Основная возможность, необходимая торговому боту.

Withdraw / Transfer

CoinTech2u использует это право исключительно для Profit Guard — автоматического перемещения зафиксированной прибыли из вашего Trading Wallet в ваш Funding Wallet, оба из которых находятся внутри вашего собственного аккаунта на бирже. Код бота вызывает только эндпоинты внутренних переводов; внешний вывод на адреса, которые вам не принадлежат, не является частью ни одного пути исполнения кода, используемого ботом.

Как CoinTech2u удерживает средства внутри вашего аккаунта, даже когда предоставлено право transfer:
  1. Устройство кода бота: вызываются только эндпоинты внутренних переводов (Trading Wallet → Funding Wallet внутри вашего аккаунта). Эндпоинтов внешнего вывода нет в пути исполнения кода бота.
  2. Белый список адресов биржи (рекомендуется): большинство бирж позволяют добавить адреса вывода в белый список. Включите его, указав только адреса ваших собственных кошельков — даже злоумышленник с утёкшим ключом не сможет отправить средства куда-либо ещё.
  3. IP-белый список на API-ключе: ограничивает вызовы API диапазоном IP серверов CoinTech2u, так что утёкший ключ невозможно использовать из любого другого источника.

3. IP-белый список — второй замок

Даже Trade-only API-ключ, если он утечёт, теоретически мог бы быть использован злоумышленником для выставления вредоносных сделок (например, намеренно убыточных сделок, чтобы опустошить ваш аккаунт). IP-белый список устраняет этот риск.

Когда вы привязываете свой API с IP-белым списком, биржа будет принимать инструкции только с тех конкретных IP-адресов, которые вы одобрили, — в нашем случае это диапазон IP серверов CoinTech2u. Даже если API-ключ и секретный ключ утекут к третьей стороне, воспользоваться ими она не сможет. Биржа отклоняет запрос на уровне протокола.

Что блокирует IP-белый список

  • ✓ Использование украденных API-ключей с машины злоумышленника
  • ✓ Перепродажу API-ключей на рынках даркнета
  • ✓ Случайные утечки через скриншоты, логи чатов, коммиты на GitHub
  • ✓ Вредоносные расширения или кейлоггеры на вашем собственном устройстве

Руководства CoinTech2u (Binance, ByBit, Bitget) пошагово показывают, как добавить наши серверные IP в белый список во время привязки. Это занимает дополнительные 30 секунд и резко сужает поверхность атаки.

4. Fast API (OAuth) — полный отказ от ключей

Ещё лучше, чем ручной API-ключ, — вообще не иметь дела с API-ключом. Три из четырёх бирж, с которыми интегрируется CoinTech2u, предлагают Fast API — процесс авторизации в один клик по принципу OAuth. Вы подтверждаете подключение в приложении своей биржи, и биржа выдаёт ограниченный по правам токен напрямую CoinTech2u. Вы никогда не видите, не вводите и не храните API-ключ или секретный ключ.

Биржа Поддержка OAuth (Fast API) Доля использования OAuth
BinanceНе поддерживается
ByBitПоддерживается~5%
OKXПоддерживается~26%
BitgetПоддерживается~51%

Примерно половина пользователей Bitget уже выбирают OAuth вместо ручных API-ключей — они поняли, что чем меньше учётных данных нужно вводить, тем меньше мест, где может произойти утечка. Токен существует только между Bitget и CoinTech2u и может быть отозван из приложения биржи в любой момент.

5. Как устроена некастодиальная архитектура CoinTech2u

Архитектура состоит из трёх независимых слоёв, и деньги никогда не попадают в слой бота:

Поток данных

  1. Вы создаёте API-ключ на Binance / ByBit / OKX / Bitget с правами Read + Trade + Transfer (право Transfer нужно для внутреннего перемещения Profit Guard из Trading в Funding). Для максимальной безопасности включите IP-белый список и белый список адресов биржи.
  2. CoinTech2u хранит ключ в зашифрованном виде и использует его только для отправки торговых инструкций на биржу.
  3. Биржа исполняет сделку целиком внутри вашего аккаунта. Ваши USDT, ваш BTC, ваши позиции — всё это остаётся на бирже.
  4. CoinTech2u считывает результаты через тот же API (право Read), чтобы обновить вашу панель управления.
  5. Ни в какой момент ваш торговый капитал не проходит через кошелёк CoinTech2u.
Кошелёк платформы против торгового капитала: CoinTech2u действительно использует небольшой кошелёк на стороне платформы для одной узкой задачи — покупки поинт-карт и оплаты Gas Fees внутри платформы. Этот кошелёк полностью отделён от вашего торгового капитала, который никогда не покидает ваш аккаунт на бирже. Вы можете ничего сюда не вносить и по-прежнему торговать в обычном режиме.

6. Доказательство масштабом — цифры, которые показывают, что это действительно работает

Некастодиальная архитектура имеет значение только тогда, когда она проверена в масштабе. Вот что обработал некастодиальный слой подключения CoinTech2u:

  • Представленных стран / регионов: 150+
  • Платформа работает: с 2022 года (4+ года)
  • Торгового капитала пользователей, перемещённого на кошельки CoinTech2u: $0

Более четырёх лет непрерывной работы, пользователи в 150+ странах, нулевой торговый капитал пользователей, когда-либо находившийся на кастодиальном хранении. Это характерная черта структурно некастодиальной системы.

7. Худший случай: что, если бы сама CoinTech2u была скомпрометирована?

Это стресс-тест, который имеет значение. Пройдёмся по сценариям:

Сценарий: злоумышленник получает полный доступ к базе данных CoinTech2u

Он увидел бы зашифрованные API-ключи и историю сделок. Право transfer у бота ограничено устройством кода (только внутренние перемещения Trading↔Funding), а IP-белый список не позволяет никому за пределами диапазона наших серверов использовать ключ. Если вы также включили белый список адресов биржи только с адресами ваших собственных кошельков, внешний вывод на адрес злоумышленника структурно невозможен независимо от того, какими правами обладает API-ключ.

Сценарий: CoinTech2u навсегда уходит в офлайн

Ваши средства не тронуты — они по-прежнему в вашем аккаунте на бирже. Зайдите в Binance / ByBit / OKX / Bitget, отзовите API-ключ (или OAuth-токен) и торгуйте вручную, как раньше. Бот останавливается, ваши деньги остаются.

Сценарий: недовольный сотрудник действует злонамеренно

Тот же потолок, что и в сценарии взлома базы данных. При активном IP-белом списке утёкший ключ невозможно использовать из любого другого источника. При белом списке адресов биржи, ограниченном вашими собственными кошельками, внешний вывод не может попасть куда-либо вредоносно. Худшее экономическое воздействие ограничено тем, что может натворить неудачное торговое решение, — а не катастрофическим опустошением аккаунта.

Сценарий: взламывают саму биржу

Это вне контроля CoinTech2u и является реальным системным риском в крипте. Используйте крупные биржи (Binance, ByBit, OKX, Bitget), включайте 2FA и следуйте лучшим практикам безопасности на уровне биржи. Некастодиальный бот не усугубляет риск биржи, но и не делает вид, что решает его.

8. Часто задаваемые вопросы

В: Может ли CoinTech2u вывести мои средства на собственный кошелёк?

Нет. Право Transfer у API-ключа используется исключительно для Profit Guard — перемещения зафиксированной прибыли из вашего Trading Wallet в ваш Funding Wallet, оба внутри вашего собственного аккаунта на бирже. Средства никогда не попадают на кошелёк, контролируемый CoinTech2u. Чтобы сделать эту гарантию структурной, а не просто основанной на политике, мы настоятельно рекомендуем вам (a) включить белый список адресов биржи только с адресами ваших собственных кошельков и (b) включить IP-белый список на API-ключе. Вместе они предотвращают внешний вывод независимо от того, какими правами обладает API-ключ.

В: Что, если мой API-ключ каким-то образом утечёт?

Если при настройке вы включили IP-белый список (мы настоятельно это рекомендуем), утёкший ключ бесполезен для злоумышленника — биржа отклоняет запросы с неизвестных IP. Если не включили, отзовите ключ на странице управления API вашей биржи и создайте новый. Это займёт 2 минуты.

В: Могу ли я отозвать подключение в любой момент?

Да. Либо удалите API-ключ на бирже (для ручного API), либо отзовите OAuth-токен (для Fast API). Бот немедленно теряет доступ. Ваши позиции остаются на месте — открытые, закрытые или в прибыли — ровно в том состоянии, в котором они были на момент отзыва.

В: Безопаснее ли Fast API (OAuth), чем ручной API-ключ?

Да, существенно. Вы никогда не вводите и не храните секретный ключ. Токен согласуется напрямую между биржей и CoinTech2u. Отзыв выполняется одним касанием внутри приложения биржи. Если OAuth доступен для вашей биржи (OKX, Bitget, ByBit), используйте его.

В: Стоит ли мне также включить 2FA на бирже?

Безусловно. Безопасность API — это один слой. 2FA защищает сам вход на вашу биржу. Google Authenticator (предпочтительно) или аппаратные ключи (YubiKey) — оба отличные варианты. Это базовая гигиена работы с биржей независимо от того, используете вы бота или нет.

9. Итог

«Некастодиальный» — это не маркетинговое слово, когда оно закреплено архитектурно. У модели CoinTech2u есть единственное структурное правило: торговый капитал пользователя всегда остаётся в аккаунтах пользователя на бирже. Всё остальное — права API, IP-белый список, OAuth, зашифрованное хранение — это обеспечение соблюдения этого правила.

Годы непрерывной работы, $0 торгового капитала пользователей, когда-либо удерживавшегося платформой. Вот аргумент в пользу безопасности — не слоган, а структурный факт.

Практический следующий шаг: при привязке API используйте Fast API там, где он доступен (OKX, Bitget, ByBit). Для Binance следуйте руководству по ручному API и включите IP-белый список.

Эта статья описывает архитектуру безопасности; она не является гарантией от всех возможных рисков. Всегда следуйте лучшим практикам безопасности на уровне биржи, включая 2FA.

Хотите проверить эти заявления?

Реальные результаты CoinTech2u архивируются ежедневно и доступны для публичной проверки — без выборочных периодов, без удалённых убытков. Сначала изучите данные, а затем решайте, доверить ли ИИ дисциплинированную торговлю за вас.

Поделиться статьёй:

Похожие статьи

Fees & Risk
Руководство по умной защите: как подобрать подходящие именно вам настройки Equity Guard и Profit Guard

Основанное на обширном бэктестинге реальных портфеле�...

Fees & Risk
Торговый ИИ-бот — это развод? 6 тревожных признаков, по которым распознать платформу-скам

Торговый ИИ-бот сам по себе не развод — разводом являе�...

Fees & Risk
Сколько может заработать торговый ИИ-бот? Данные с 300 реальных аккаунтов

К любому, кто называет вам определённую «доходность X% �...

Fees & Risk
CoinTech2u — это развод? Легально и безопасно ли это — проверьте сами на фактах (2026)

CoinTech2u — это развод, безопасно ли это, реально ли это? Лу...

Эта статья предназначена исключительно для образовательных и информационных целей и не является инвестиционной рекомендацией. Инвестирование сопряжено с рисками, инвестируйте осмотрительно.

Начните торговать бесплатно →