Bitcoin Forum

Hi. wie ist das wenn ich zum beispiel eine api schnittstelle für das cointracking benutze und dafür damit der drittanbieter die schnittstelle benutzen kann dessen ip auf die whitelist setze. kann er dann alles machen zum beispiel auch withdrawal falls nicht extra deaktiviert? was ist mit der zwei faktoor authentifizierung per e mail und google authentificator? ist das beides noch aktiv oder wird das umgangen?

Bei der Erstellung der API auf der Börse musst du die Berechtigungen vergeben. Bei vielen Börsen kann man eine "Tax report API" auswählen, die nur "Lesezugriff" hat.

Withdrawal Rechte sollte man einer API nie zugestehen, die man für Drittanbieter einrichtet, denn ja damit können automatisiert (d.h. ohne manuelles 2FA) Abbuchungen vorgenommen werden.
Selbst Trading Rechte (für Trading Bots) sollt man bei API mit Vorsicht genießen. Ende 2022 gabs z.B. bei 3Commas einen Hack, wo dann Shitcoins mit niedriger Liquidität mit Kundenaccounts gepumped wurden, um sie dann mit dem Konto des Hackers wieder zu dumpen und somit die Konten der 3Commas Nutzer durch Tradingverluste sukzessive leer zu ziehen, obwohl die selbstredend withdrawal nicht erlaubt hatten. Trading APIs sollten also auch mit einer Whitelist für die Trading Pairs hinterlegt sein.

Wenn es Nur um den Steuerreport geht, dann ist das durch die sehr eingeschränkten Rechte eher unproblematisch, ich würde aber auch hier das Risiko durch zeitliche Exposition begrenzen, sprich keinen dauerhaften API zugriff sondern nur einmalig zum Upload der Trading Historie in die Steuersoftware und danach die API auf der Börse wieder deaktivieren.

 
 

Was meinst du damit? Ist 2FA überhaupt aktiv über API oder kann jeder mit den API daten abbuchen wenn ich withdrawal rechte vergebe?

Letzteres.
Man kann ja über z.B. über tradingsview auch selber Strategien automatisieren und trades via API setzen.
2FA gibt's da nicht, macht für automatisierung ja auch keinen Sinn.... Wenn withdrawal rechte vergeben sind gilt da das gleiche...