Frage zur Sicherheit bei Nutzung einer API-Schnittstelle

CryptoMax66 (OP)

Newbie

Offline

Activity: 6
Merit: 2

Frage zur Sicherheit bei Nutzung einer API-Schnittstelle

March 10, 2024, 09:16:23 PM

Hi. wie ist das wenn ich zum beispiel eine api schnittstelle für das cointracking benutze und dafür damit der drittanbieter die schnittstelle benutzen kann dessen ip auf die whitelist setze. kann er dann alles machen zum beispiel auch withdrawal falls nicht extra deaktiviert? was ist mit der zwei faktoor authentifizierung per e mail und google authentificator? ist das beides noch aktiv oder wird das umgangen?

1714290709

Hero Member

Offline

Posts: 1714290709

Ignore

1714290709

1714290709


	Report to moderator

Bitcoin mining is now a specialized and very risky industry, just like gold mining. Amateur miners are unlikely to make much money, and may even lose money. Bitcoin is much more than just mining, though!

Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.

1714290709

Hero Member

Offline

Posts: 1714290709

Ignore

1714290709


	Report to moderator

1714290709

Hero Member

Offline

Posts: 1714290709

Ignore

1714290709


	Report to moderator

Turbartuluk

Hero Member

Offline

Activity: 490
Merit: 1418

Re: Frage zur Sicherheit bei Nutzung einer API-Schnittstelle

March 10, 2024, 10:08:55 PM

Merited by HeRetiK (1), virginorange (1)

Bei der Erstellung der API auf der Börse musst du die Berechtigungen vergeben. Bei vielen Börsen kann man eine "Tax report API" auswählen, die nur "Lesezugriff" hat.

Withdrawal Rechte sollte man einer API nie zugestehen, die man für Drittanbieter einrichtet, denn ja damit können automatisiert (d.h. ohne manuelles 2FA) Abbuchungen vorgenommen werden.
Selbst Trading Rechte (für Trading Bots) sollt man bei API mit Vorsicht genießen. Ende 2022 gabs z.B. bei 3Commas einen Hack, wo dann Shitcoins mit niedriger Liquidität mit Kundenaccounts gepumped wurden, um sie dann mit dem Konto des Hackers wieder zu dumpen und somit die Konten der 3Commas Nutzer durch Tradingverluste sukzessive leer zu ziehen, obwohl die selbstredend withdrawal nicht erlaubt hatten. Trading APIs sollten also auch mit einer Whitelist für die Trading Pairs hinterlegt sein.

Wenn es Nur um den Steuerreport geht, dann ist das durch die sehr eingeschränkten Rechte eher unproblematisch, ich würde aber auch hier das Risiko durch zeitliche Exposition begrenzen, sprich keinen dauerhaften API zugriff sondern nur einmalig zum Upload der Trading Historie in die Steuersoftware und danach die API auf der Börse wieder deaktivieren.

CryptoMax66 (OP)

Newbie

Offline

Activity: 6
Merit: 2

Re: Frage zur Sicherheit bei Nutzung einer API-Schnittstelle

March 19, 2024, 12:01:39 PM

Quote from: Turbartuluk on March 10, 2024, 10:08:55 PM

Damit können automatisiert (d.h. ohne manuelles 2FA) Abbuchungen vorgenommen werden.

Was meinst du damit? Ist 2FA überhaupt aktiv über API oder kann jeder mit den API daten abbuchen wenn ich withdrawal rechte vergebe?

Turbartuluk

Hero Member

Offline

Activity: 490
Merit: 1418

Re: Frage zur Sicherheit bei Nutzung einer API-Schnittstelle

March 19, 2024, 12:36:33 PM

Quote from: CryptoMax66 on March 19, 2024, 12:01:39 PM

Quote from: Turbartuluk on March 10, 2024, 10:08:55 PM

Damit können automatisiert (d.h. ohne manuelles 2FA) Abbuchungen vorgenommen werden.

Was meinst du damit? Ist 2FA überhaupt aktiv über API oder kann jeder mit den API daten abbuchen wenn ich withdrawal rechte vergebe?

Letzteres.
Man kann ja über z.B. über tradingsview auch selber Strategien automatisieren und trades via API setzen.
2FA gibt's da nicht, macht für automatisierung ja auch keinen Sinn.... Wenn withdrawal rechte vergeben sind gilt da das gleiche...

Pages: [1]

Bitcoin Forum > Local > Deutsch (German) > Anfänger und Hilfe > Frage zur Sicherheit bei Nutzung einer API-Schnittstelle

« previous topic next topic »