안녕하세요 겨울 777님! 

API를 발급 받으실 떄 입출금을 허용하지 않도록 설정하신 다면 큰 위험은 없을 것으로 보입니다! 

또한 바이낸스 거래소를 사용하신다면 해킹을 당해도 입증만 되면 SAFU 기금으로 전액 상환 해드립니다. 

이상입니다~! 

구글2차인증 보안 사용하면 99.999% 안전하다는게 정성!

로봇을 사용하시려는 걸보니 투라밸이 필요하신 듯 하군요.

저도 판때기 들여다 보는데 시간 낭비가 많아서 로봇을 사용하고 있습니다.

API key를 빼돌려서 그걸로 남의 계좌에 접속한 다음 할 수 있는 일은 

1. 코인을 자기 지갑으로 전송한다.

2. 코인을 산다.

3. 코인을 판다

등 3가지 작업을 할 수 있을 것입니다.

2번 3번은 내지갑에서 발생하므로 코인이나 매각 대금이 어디로 가버리지는 않습니다.

황당한 경험이 되긴 하겠지만요

문제는 1번인데, 퀀트픽님의 말씀대로 하면 이 문제는 일정부분 해결됩니다.

하지만 그 로봇이 그 운영사의 호스트에 있으므로, 그 호스트 자체의 통제권은 님께 있지 않습니다.

그러므로 접속권한을 IP주소로 제한한다 하더라도,

만일 그 운영사가 님의 키를 도용한다면 얼마든지 님의 지갑에 접속할 수 있다고 봐야합니다.

로봇을 내가 통제할 수 있는 컴에 운영해야 완전하다고 봐야겠지요.

API 키가 유실되어서 발생하는 문제 보다는 거래소 자체와, 로봇 운영사 등의 보안 취약점 문제가 더 크다고 하겠습니다.

가장 큰 문제는 코인 지갑 자체의 보안 문제인데, 온라인 지갑은 자체적인 보안 위험에 노출되었다고 봐야 합니다.

그 다음으로는 개인정보를 도용한 2차 3차적인 보안 위험에 노출되는 것을 조심해야 합니다.

그럼 이만....

제가 좀 더 생각을 해보니 이런 시나리오도 가능 할 듯합니다.

이건 업비트에서 경험한 내용인데, 실수로 매수 호가를 높게 주문을 냈는데, 그 보다 낮은 매도 호가들이 많이 있음에도 불구하고 주문한 호가에 체결이 되더군요.

이건 매우 황당한 경험이죠.

통상은 선입선출로 체결이 되기 때문에 거래소 자체의 알고리듬으로 낮은 매도호가에 체결해 주어야 합니다.

바이낸스의 경우는 그렇게 합니다.

그래서 업비트라면 이런 방법이 가능하겠군요.

1. 악당이 자기 계좌에서 아주 높은 매도호가 주문을 내 놓는다.

2. 훔친 키로 피해자 계좌에 접속해서 자기가 매도 주문한 매수호가로 주문한다.

3. 체결결과는 악당이 황당한 가격에 자기 코인을 팔아치운게 됩니다.

물론 그 반대의 경우도 가능하겠네요