Bybit API-Tutorial: Wie verbinde ich mich und starte den automatisierten Handel?

Grundlegendes zur Bybit-API-Authentifizierung

1. Für Bybit sind API-Schlüssel erforderlich, die über das Konto-Dashboard des Benutzers im Abschnitt „API-Verwaltung“ generiert werden. Diese Schlüssel bestehen aus einem API-Schlüssel und einem geheimen Schlüssel, die beide für das Signieren von Anfragen unerlässlich sind.

2. Der geheime Schlüssel darf niemals im clientseitigen Code oder in öffentlichen Repositorys offengelegt werden. Es wird verwendet, um HMAC-SHA256-Signaturen für jede Anfrage zu generieren, um die Identität zu überprüfen und Manipulationen zu verhindern.

3. Benutzer müssen bei der Schlüsselerstellung genaue Berechtigungen zuweisen – etwa den Zugriff auf „Bestellung“, „Wallet“ oder „Vertrag“ – und IP-Adressen einschränken, wenn sie in Produktionsumgebungen arbeiten.

4. Die Zeitsynchronisation ist obligatorisch. Mit Fehlercode 10004 abgelehnte Anforderungen weisen auf eine Nichtübereinstimmung des Zeitstempels hin. Systeme müssen eine Taktabweichung von weniger als 30 Sekunden im Verhältnis zur Serverzeit von Bybit einhalten.

5. Alle Endpunkte benötigen den X-BAPI-API-KEY-Header, der den öffentlichen Schlüssel enthält, und den X-BAPI-SIGN-Header, der die aus verketteten Parametern und dem Geheimnis abgeleitete Base64-codierte Signatur enthält.

Einrichten der REST-API-Integration

1. Entwickler verwenden üblicherweise Python mit der Anforderungsbibliothek , um authentifizierte GET/POST-Aufrufe zu erstellen. Ein typisches Beispiel ist das Abrufen des Wallet-Guthabens über den Endpunkt /v5/account/wallet-balance.

2. Abfrageparameter müssen vor dem Hashing beim Erstellen der Signaturzeichenfolge alphabetisch sortiert werden. Nonce-Werte müssen über aufeinanderfolgende Anforderungen hinweg monoton ansteigen, um Wiederholungsangriffe zu vermeiden.

3. Die Ratenbeschränkungen variieren je nach Endpunkt: Öffentliche Endpunkte erlauben bis zu 60 Anfragen pro Minute, während private Endpunkte auf 120 pro Minute begrenzt sind, sofern kein Upgrade über die institutionelle Stufe von Bybit durchgeführt wird.

4. Die Fehlerbehandlung muss JSON-Antworten auf Statuscodes wie 10001 (ungültiger API-Schlüssel), 10002 (ungültige Signatur) oder 110001 (unzureichender Spielraum) analysieren, um die entsprechende Fallback-Logik auszulösen.

5. Die Wiederverwendung von Sitzungen verbessert die Leistung – dauerhafte Verbindungen über den PoolManager von urllib3 reduzieren den TCP-Handshake-Overhead bei hochfrequenten Auftragsübermittlungen.

WebSocket-Echtzeit-Datenstreaming

1. Bybit unterstützt WebSocket v5 für Echtzeit-Marktdaten, Aktualisierungen der Handelsausführung und Positionsänderungen. Verbindungen werden mit einem einzigen Authentifizierungsrahmen unter Verwendung desselben API-Schlüssels und derselben Signaturmethode wie REST initiiert.

2. Das Abonnieren von Themen wie orderbook.1.BTCUSDT oder trade.BTCUSDT erfordert das Senden einer JSON-Nutzlast mit op: 'subscribe' und args: ['topic.name'].

3. Heartbeat-Pings müssen alle 20 Sekunden gesendet werden, um die Verbindungsstabilität aufrechtzuerhalten. Wenn innerhalb des Timeout-Fensters nicht reagiert wird, wird eine erzwungene Trennungs- und Wiederverbindungssequenz ausgelöst.

4. Die Nachrichtenkomprimierung ist standardmäßig deaktiviert, kann jedoch über die Aushandlung der Permessage-Deflate-Erweiterung während des WebSocket-Handshakes für bandbreitenempfindliche Bereitstellungen aktiviert werden.

5. Orderbuch-Snapshots kommen zunächst als Snapshots mit voller Tiefe, gefolgt von Delta-Updates. Kunden müssen diese Deltas korrekt anwenden, um eine Zustandsdesynchronisierung und Fehlbewertungen zu vermeiden.

Aufbau eines einfachen automatisierten Handelsbots

1. Ein minimal funktionierender Bot beginnt mit der Initialisierung der Anmeldeinformationen, dem Einrichten einer WebSocket-Verbindung für den Preis-Feed und dem Einrichten einer REST-Sitzung für die Auftragserteilung.

2. Die Strategielogik – wie die Erkennung von Überkreuzungen des gleitenden Durchschnitts – basiert auf OHLCV-Daten auf Tick-Ebene, die aus WebSocket-Handelsströmen rekonstruiert oder über REST /v5/market/kline abgerufen werden.

3. Die Auftragsausführung verwendet POST /v5/order/create mit strikter Validierung der Felder Side (Kauf/Verkauf), OrderType (Markt/Limit) und Menge. Ungültige Mengenformate geben Fehler 30089 zurück.

4. Zu den Risikokontrollen gehören die Überprüfung der verfügbaren Marge vor der Einreichung, die Überprüfung der Grenzwerte für die Anzahl offener Orders und die Durchsetzung der maximalen Positionsgröße basierend auf dem Eigenkapitalanteil.

5. Die Protokollierung muss rohe Anforderungs-/Antwortnutzlasten, Zeitstempel und Ausführungslatenzmetriken erfassen, um das Debuggen von Latenzspitzen oder unerwarteten Füllungen zu unterstützen.

Häufig gestellte Fragen

F: Kann ich denselben API-Schlüssel für Testnet und Mainnet verwenden? A: Nein. Testnet und Mainnet erfordern eine separate API-Schlüsselgenerierung. Schlüssel, die in einer Umgebung erstellt wurden, funktionieren in der anderen nicht.

F: Was passiert, wenn mein Bot doppelte Bestell-IDs sendet? A: Bybit lehnt doppelte clOrdID-Werte innerhalb eines 24-Stunden-Fensters mit dem Fehlercode 110012 ab und verhindert so eine versehentliche Doppelübermittlung.

F: Gibt es eine Möglichkeit, die historische Handelshistorie abzurufen, die älter als 7 Tage ist? A: REST /v5/execution/list gibt nur Datensätze der letzten Woche zurück. Für erweiterte Archive müssen Benutzer im Live-Betrieb die Handelsprotokollierung auf ihrer eigenen Infrastruktur aktivieren.

F: Nutzen Spot- und Derivate-APIs denselben Authentifizierungsablauf? A: Ja. Beide verwenden die identische HMAC-SHA256-Signaturlogik und Header-Struktur, obwohl sich Endpunktpfade und erforderliche Parameter je nach Produkttyp erheblich unterscheiden.