Comprar Cripto
Pagar com
USD
USD
Comprar e vender
HOT
Compre e venda criptomoedas através da Apple Pay, cartões, Google Pay, transferências bancárias e muito mais
P2P
0 Fees
Taxas zero, mais de 400 opções de pagamento e compra e venda fácil de criptomoedas
Cartão Gate
Cartão de pagamento de criptomoedas, que permite transações globais sem falhas.
Mercados
Negociar
Tipo de negociação
Ferramentas de negociação
Futuros
Futuros
Centenas de contratos liquidados em USDT ou BTC
Opções
HOT
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Launch
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
NEW
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
NEW
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Comunidade
Square
Gate Fun
Partilhe a sua publicação e mantenha-se informado sobre as criptomoedas e não só
Live
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
web3
Web3
Mais
Promoções
Guia para iniciantes
giveaways
Centro de Recompensas
Square
Últimas
Quente
Notícias
Perfil
CryptoTherapistvip

Na tarde de domingo, tudo parecia bastante tranquilo. O mercado não estava nem quente nem frio, as conversas no grupo de chat estavam animadas, e o nosso programa de negociação automática funcionava normalmente — coletando dados, fazendo pequenas ordens, escrevendo logs. De repente, uma entrada de registro de uma transação apareceu na interface de negociação, a conta era nossa, mas nós não havíamos feito nenhuma operação. Embora o valor não fosse grande, aquela sensação era como ouvir passos estranhos em casa no meio da noite — o corpo todo ficou tenso instantaneamente.


Algumas pessoas imediatamente entraram em alvoroço. Alguns achavam que a chave API tinha sido vazada, outros suspeitavam que havia um problema no sistema da exchange, e após uma discussão acalorada, não chegaram a uma conclusão. Enquanto discutiam sem parar, um rapaz novo perguntou baixinho: “Essa chave que usamos há mais de um mês, por que nunca trocamos?”
De repente, todos ficaram em silêncio.
No mundo da negociação de ativos digitais, costumamos tratar a chave API como uma chave de entrada — guardá-la bem e achar que está tudo seguro. Mas, na verdade, apenas guardá-la não é suficiente. Especialmente ao usar as interfaces de negociação mais populares, a sessão é na verdade um certificado temporário com validade — como um passe com validade que confirma que seu robô tem permissão para negociar. Se essa validade for muito longa, e ela for roubada ou vazada, as consequências podem ser difíceis de imaginar. Aquela transação inexplicável foi como um sinal de alerta; desta vez, tivemos sorte, o prejuízo foi pequeno. Mas e na próxima? Não podemos apostar na sorte.
Desde aquele dia, decidi resolver esse risco de uma vez por todas. No começo, não entendia bem por que era necessário fazer isso, depois fiquei um pouco irritado, e por fim, decidi melhorar o sistema por conta própria. Já que os traders podem fazer turnos, por que o acesso ao código não pode ser atualizado periodicamente? Nosso time decidiu implementar um mecanismo de troca automática de sessões no sistema — basicamente, fazer com que o certificado de interface seja atualizado regularmente, sempre com um novo passe temporário, de modo que, mesmo que um hacker consiga pegar o antigo, ele não possa usá-lo.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • 6
  • Republicar
  • Partilhar
Comentar
0/400
SerumSquirrelvip
· 8h atrás
Nossa, essa história é muito realista, ficar mais de um mês sem trocar a chave realmente é absurdo Trocar as chaves periodicamente, isso eu preciso aprender, sinto que também estou jogando com a sorte O novo rapaz que chegou fez todos ficarem em silêncio com uma frase, essa sim é a verdadeira solução O mecanismo de troca automática de sessões parece bom, mas na prática, será que não vai precisar de um tempo para ajustar? A mentalidade de sorte realmente mata, se aquela transação inexplicável fosse maior, realmente não daria para jogar
Ver originalResponder0
CodeSmellHuntervip
· 8h atrás
Nossa, há um mês sem trocar a chave? Isso é muito pouco profissional, não é de admirar que tenham sido explorados. De verdade, chaves assim como senhas, trocar regularmente é o caminho certo, deixá-las lá sem trocar é se arriscar à morte. O mecanismo de rotação automática é realmente ótimo, evita o trabalho manual de trocar, o sistema atualiza as permissões automaticamente, muito mais confortável. Aprendi bastante com essa operação, parece que na área de segurança não dá para ser preguiçoso, pessoal. Aliás, quantos times ainda usam credenciais expiradas, hein? Uma tossida de cabeça.
Ver originalResponder0
SigmaBrainvip
· 8h atrás
Ah, já vi casos semelhantes, se não trocar a chave, é como uma fechadura que não troca a chave por um mês, cedo ou tarde vai dar problema. Aquela coisa do API realmente, a maioria das pessoas só configura a chave e deixa lá por meio ano... Eu também já cometi esse erro. Uma frase do tocou no ponto crucial, não é de admirar que todo o grupo estivesse em silêncio haha. Essa ideia de mecanismo de rotação automática é boa, mas na prática precisa alterar bastante código, dá um pouco de trabalho. Ainda bem que o valor é pequeno, senão essa lição seria cara demais. Gerenciar chaves é fácil de falar, mas na prática poucos realmente se preocupam com isso, agora também estou assustado com isso. Essas registros de transação inexplicáveis já são suficientes para deixar a gente incomodado, é preciso ficar atento.
Ver originalResponder0
AlphaWhisperervip
· 8h atrás
Nossa, há mais de um mês sem trocar a chave? Quanto esforço isso deve dar Porra, é por isso que eu nunca confio nas promessas de "segurança" das exchanges O comentário do rapaz acertou em cheio, essa é que é a verdadeira compreensão Rotacionar periodicamente os tokens de sessão é uma ideia realmente forte, bloqueando diretamente a possibilidade de uso da antiga chave Na minha opinião, a maioria das pessoas só age com sorte, e só se arrepende quando acontece algo Falando nisso, quantas equipes realmente se atrevem a fazer uma atualização de sistema assim? Pense bem, se um hacker pegar uma credencial expirada, ela vira papel inútil, é um pouco extremo Desta vez, a sorte foi boa e não perdeu muito, mas na próxima? Nem quero imaginar Na verdade, esse mecanismo de rotação automática já deveria ter sido implementado há muito tempo, por que esperar até acontecer algo?
Ver originalResponder0
RugResistantvip
· 9h atrás
Porra, trocar a chave só de um mês em um mês? Isso deve ser muito sério, mereceu ficar assustado A rotação automática é genial, muito melhor do que a maioria das pessoas ficar segurando uma chave Para ser honesto, aquela transação fantasma dá medo, e se o valor fosse maior? A gestão de chaves realmente é a parte mais fácil de ser negligenciada, todo mundo acha que só criptografar resolve Atualizar as permissões periodicamente é uma ideia que já devia estar sendo promovida, a preguiça mata tudo
Ver originalResponder0
TokenStormvip
· 9h atrás
Porra, um mês sem trocar as chaves? Isso não é estar à espera da morte, os dados na cadeia já mostraram que essa vulnerabilidade causa problemas ano após ano, e ainda estamos a dormir Falando sério, essa lógica de rotação de sessões eu já tinha sugerido há muito tempo, mas sempre há quem ache que é complicado, e agora estão a aprender a lição Aquela transação estranha na verdade é um sinal, o olho do furacão está bem à frente, a maioria das equipes escolhe ignorar, e depois são apanhadas de surpresa A automação na atualização de permissões está bem feita, pelo menos pode reduzir o fator de risco, senão parece que estamos a jogar um jogo de probabilidades a cada vez
Ver originalResponder0

  • Fixar

mapa do site
Negocie cripto em qualquer lugar e a qualquer hora
qrCode
Digitalizar para transferir a aplicação Gate
Novidades
Português (Portugal)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Sobre nósCarreirasSala de imprensaPatrocinador da Oracle Red Bull RacingParceiro oficial de manga do FC InterContrato de utilizadorAviso de riscoPolítica de privacidadePolítica de cookiesKit de mediaComprovativo de ReservasLicençaSegurançaGateToken (GT)GUSDGate ChainEventos GateAutoridadesCimeirasGate Ventures
    P2PConversão e negociação em blocosNegociação à vistaNegociação de futurosAçõesAlphaMargemTokens alavancadosNFTGate PayGate LifeCartão de ofertaGate OTCGate CharityLoja GateWeb3Gate Perp DEXGate Vault
    Benefícios VIPInstitucionalFeedback do utilizadorAnúncioTarifasCentral de AjudaEnviar um pedidoSolicitação de listagemContrato inteligente seguroDesenvolvedoresVerificação de PesquisaAplicação de Mercador P2PPrograma de afiliadosCalendário CriptoSolução cross-chain da
    Gate LearnCursos de CriptomoedasGlossário de CriptomoedasPreços de criptomoedasGrandes DadosDivisão ao Meio do BitcoinAtualização do Ethereum (ETH)Wiki de criptomoedasCalculadora de cripto