Wie konfiguriere ich eine IP-Whitelist für den Bybit-API-Zugriff?

Übersicht über die Bybit-API-IP-Whitelist-Konfiguration

1. Bybit erfordert eine strikte Autorisierung auf Netzwerkebene für alle API-Schlüssel, die in Produktionsumgebungen verwendet werden. Jeder API-Schlüssel muss einem definierten Satz von IPv4-Adressen zugeordnet sein, um die Ursprungspunkte der Anfrage einzuschränken.

2. Die IP-Whitelist wird auf der Gateway-Ebene der Börse durchgesetzt, bevor Authentifizierungs- oder Berechtigungsprüfungen durchgeführt werden. Anfragen von IPs, die nicht auf der Whitelist stehen, erhalten sofort HTTP 403 Forbidden-Antworten.

3. Bybit unterstützt kein IPv6-Whitelisting; Bei der Konfiguration werden nur IPv4-Adressen oder CIDR-Notation (z. B. 203.0.113.42/32 oder 192.0.2.0/24) akzeptiert.

4. Ein einzelner API-Schlüssel kann bis zu 20 verschiedene IPv4-Einträge enthalten, einschließlich einzelner Adressen und Subnetzbereiche, aber überlappende CIDR-Blöcke werden bei der Übermittlung abgelehnt.

5. Änderungen an der IP-Whitelist werden innerhalb von 30 Sekunden wirksam, ohne dass eine Schlüsselerneuerung oder ein Neustart des Dienstes erforderlich ist.

Schritt-für-Schritt-Whitelist-Einrichtung über die Bybit-Weboberfläche

1. Melden Sie sich mit der offiziellen Domain www.bybit.com bei Ihrem Bybit-Konto an, überprüfen Sie das an Bybit Limited ausgestellte SSL-Zertifikat und stellen Sie sicher, dass die Zwei-Faktor-Authentifizierung aktiv ist.

2. Navigieren Sie zu Kontoeinstellungen → Sicherheit → API-Verwaltung und suchen Sie den Ziel-API-Schlüsseleintrag.

3. Klicken Sie auf das Stiftsymbol neben der Taste, um den Bearbeitungsmodus zu öffnen, und erweitern Sie dann den Abschnitt „IP-Whitelist“.

4. Geben Sie eine oder mehrere IPv4-Adressen oder CIDR-Blöcke ein, die durch Zeilenumbrüche getrennt sind – Kommas oder Semikolons sind nicht zulässig.

5. Bestätigen Sie die Änderungen sowohl mit der E-Mail-Bestätigung als auch mit dem Google Authenticator-Code. Bei einem Fehler in einem der Schritte wird das gesamte Update rückgängig gemacht.

Whitelist-Validierung und Fehlerbehebung

1. Starten Sie nach dem Speichern einen Testaufruf an /v5/account/info mit Curl oder Postman mit korrekten Headern und Signaturen.

2. Wenn die Antwort retCode: 10004 enthält, bedeutet dies, dass die Ursprungs-IP nicht auf der genehmigten Liste steht – auch wenn die Anmeldeinformationen gültig sind.

3. Verwenden Sie ip138.com oder curl ifconfig.me, um die öffentliche IP-Adresse des Computers zu bestätigen, auf dem Ihr Trading-Bot oder Ihr Skript gehostet wird.

4. Rufen Sie bei der Bereitstellung in einer Cloud-Infrastruktur die Elastic IP- oder NAT-Gateway-Adresse ab – nicht die private VPC-Adresse –, da nur öffentlich zugängliche IPs ausgewertet werden.

5. Vermeiden Sie die Verwendung dynamischer Privat-IPs, es sei denn, sie sind mit einem zuverlässigen DDNS-Dienst gekoppelt, der die Whitelist automatisch über die Bybit-API aktualisiert.

Sicherheitsauswirkungen falsch konfigurierter Whitelists

1. Wenn Sie die Whitelist leer lassen, wird der gesamte Zugriff unabhängig von der Schlüsselgültigkeit deaktiviert, wodurch legitimer Datenverkehr effektiv gesperrt wird.

2. Die Eingabe von 0.0.0.0/0 oder ähnlich breiten Masken verstößt gegen die Sicherheitsrichtlinien von Bybit und führt zu einer sofortigen Schlüsseldeaktivierung durch automatisierte Systeme.

3. Die Wiederverwendung desselben API-Schlüssels auf mehreren Servern ohne Aktualisierung der Whitelist setzt die Anmeldeinformationen einer seitlichen Verschiebung aus, wenn ein Host kompromittiert wird.

4. Das Versäumnis, IPs nach der Infrastrukturmigration zu rotieren, führt zu dauerhaften 403-Fehlern, selbst wenn die Anmeldeinformationen intakt bleiben und die Berechtigungen unverändert bleiben.

5. Das Speichern von IP-Adressen auf der Whitelist in versionierten Konfigurationsdateien ohne Verschlüsselung erhöht das Risiko einer versehentlichen Offenlegung bei Code-Audits oder Repository-Lecks.

Häufig gestellte Fragen

F1: Kann ich localhost oder 127.0.0.1 in der IP-Whitelist von Bybit verwenden? Bybit lehnt Loopback-Adressen vollständig ab. Die lokale Entwicklung muss über eine öffentlich routbare IP weiterleiten oder die Testnet-Umgebung von Bybit verwenden, in der Whitelisting deaktiviert ist.

F2: Erlaubt Bybit Wildcard-Domains oder Hostnamen-basiertes Whitelisting? Nein. Es werden nur numerische IPv4-Adressen und CIDR-Blöcke akzeptiert. Während der Validierung wird keine DNS-Auflösung durchgeführt.

F3: Was passiert, wenn sich die öffentliche IP meines Servers ändert, während die Whitelist statisch bleibt? Alle API-Anfragen von der neuen IP schlagen mit dem Fehlercode 10004 fehl, bis die Whitelist manuell mit der aktuellen Adresse aktualisiert wird.

F4: Gibt es eine Möglichkeit, die IP-Whitelist mithilfe der REST-API von Bybit programmgesteuert zu aktualisieren? Bybit stellt keinen Endpunkt zum Ändern von API-Schlüsseleinstellungen bereit. Änderungen an der Whitelist erfordern eine interaktive Authentifizierung über die Weboberfläche oder die mobile App.