Hallo, ich möchte eine Software zum tracken zwecks Steuer verwenden. Ich habe hier im Forum (Finde es leider nicht mehr.) irgendwo gelesen, dass, falls der Anbieter nicht seriös ist, ein Diebstahl der Coins über die API-Schnittstelle möglich ist, selbst wenn ich keine Withdrawal-Rechte vergebe. Ich frage mich allerdings, wie das möglich sein soll, bzw. worauf ich achten muss. Vielleicht kann derjenige das nochmal erläutern.
Ich denke mal du beziehst dich auf meine Hinweise zum 3Commas Hack. Dass man die Withdrawal-Rechte nicht vergeben darf ist selbstredend. Aber selbst mit normalen Trading-Rechten kann man Konten leerziehen. Dazu muss man als Betrüger nur selbst irgendeinen Shitcoin kaufen, den mit den via Trading-API verlinkten Konten Pumpen und mit dem eigenen Konto dumpen. Das wird so lange wiederholt bis die verlinkten Konten aufgrund der Verluste leergezogen sind, so passiert im besagten 3Commas Hack vor gut 1 Jahr.
Trading Infrastruktur sollte man daher nach Möglichkeit immer selber betreiben. Wenn man das nicht kann, sollte man darauf achten, dass man beim Erstellen der API eine Coin Whitelist erstellt, also beispielsweise nur BTC zum Handeln freigibt, dann funktionieren solche Angriffe nicht, weil der Angreifer keinen Gewinn aus dem Verlust der verlinkten Konten ziehen kann, dafür ist die Liquidität zu groß.
Für die Steuerreport APIs ist das aber in der Regel sowieso unkritisch, weil die gar keine Erlaubnis brauchen Orders zu setzen. Da geht es ja nur darum Bestände und historische Trades abzufragen.
PS: Apropos Steuerreport API, wie läuft dein Bot und wärst du bereit da solch eine API öffentlich zu teilen? Fands damals schade nicht mehr von gehört zu haben...