怎麼在 Bitfinex 建立 Funding-Only API Key — 5 分鐘 Step-by-Step 教學

如果你要用 funding bot 自動跑 Bitfinex Funding,第一步是建立 API key 給 bot 用。

這個步驟做錯一個勾選 — 你的整個 Bitfinex 帳戶資金就有被偷光的風險。

這篇文章用實際截圖 step-by-step 教,並解釋每個 permission 為什麼勾或不勾。

TL;DR — 5 個重要決定

1. ✅ 勾: Funding > Read
2. ✅ 勾: Funding > Write
3. ❌ 絕對不勾: Wallets > Withdraw
4. ❌ 絕對不勾: Account history(可選,但 bot 不需要)
5. ⚠️ 限制 IP(進階,選用)

為什麼 funding bot 只需要 funding-only key

Bitfinex 的 API permission 系統允許精確到功能等級的授權。一個 funding bot 的工作只有:

1. 看你的 funding wallet 餘額(Funding Read)
2. 替你掛 funding offer(Funding Write)

不需要:

• 提領(永遠不要給)
• 現貨交易(funding bot 不操作 spot)
• Margin 交易(funding bot 不開槓桿)

所以 funding bot 只需要 2 個 permission — Funding Read + Funding Write。給多了 = 給駭客機會。

Step 1: 登入 Bitfinex,進 API key 管理

1. 開 bitfinex.com
2. 登入(順便確認你開了 2FA)
3. 右上角頭像 → API Keys → 「Create New Key」

(如果找不到,直接去 setting.bitfinex.com/api#new-key)

Step 2: Permission 設定 — 最關鍵

進入 「Create New Key」頁,你會看到一大片 permission checkboxes。99% 的權限都不要勾。

Account 區

• ❌ View Account History
• ❌ View Affiliate Code
• ❌ Earn(這是 Bitfinex 自家 staking 產品,跟 funding 無關)

Wallets 區

• ❌ Get Balance — 這個常被誤勾: 看餘額用 Funding Read 即可,不需要這個 generic 的
• ❌ Withdraw — 絕對不勾: 給 bot 提領權限 = bot 可以把你的錢轉出去
• ❌ Transfer Between Wallets

Orders 區(現貨/槓桿交易,funding bot 不需要)

• ❌ View Orders
• ❌ Submit Orders
• ❌ Cancel Orders

Margin 區(funding bot 不開槓桿)

• ❌ Margin Trading
• ❌ Margin Funding(注意!這是「借錢開槓桿」,不是「貸出 funding」)

Funding 區 — 唯一要勾的

• ✅ Funding Read(讀取你的 funding wallet 與 offer / credit 狀態)
• ✅ Funding Write(替你掛 / 取消 funding offer)

Step 3: 命名 Key + IP 限制(可選)

Key Label: 建議寫「yieldsforge-funding」或類似可識別的名字。日後 revoke 比較好認。

IP Restriction(進階): 可以限制這個 key 只能從特定 IP 來。如果你用 Yieldsforge,IP 是 Railway 的 asia-southeast1 區段(動態,不固定)— 不建議限制,會壞。如果你用自己的 server、可以鎖定。

Step 4: 點 Create、抄下 Key 跟 Secret

點「Create」後,Bitfinex 會顯示:

• API Key: 一串長字符
• API Secret: 另一串(這個只顯示一次,離開頁面就再也看不到了)

立刻複製到安全的地方(密碼管理器 / 私密 note),不要存在桌面或 email。

Step 5: 把 Key 貼到 Bot

如果用 Yieldsforge:

1. 登入 app.yieldsforge.com
2. Settings → API Keys
3. 貼 API Key + Secret
4. 點驗證 — 我們會自動測試 permission

如果你不小心勾了 withdraw,Yieldsforge 會直接 reject:

❌ Key has 'withdraw' permission. Funding bots must use 
   funding-only keys. Please re-create with withdraw 
   permission UNCHECKED.

這是個 sanity check,不是 bug — 我們強制要求你用 funding-only key。

給 Bot Key 安全嗎?Bot 可以做什麼壞事?

合理的擔心。最壞情況:

1. Bot 拿你的 Funding Read 偷看餘額 → 沒太大用,大家都看得到 funding book
2. Bot 替你掛詭異利率的 offer 騙你 → 唯一可能的攻擊
   • 例: bot 故意用很低利率掛單,被自己 collusion account 接走
   • 但這需要 bot 開發者作惡 + 主動操作,不是匿名駭客
3. Bot 不能: 提領、轉錢、現貨交易、開槓桿 — 任何「把錢轉走」的動作都不可能

所以選 bot 的關鍵是信任 bot 開發者,不是 API key 本身的安全(只要你勾對 permission)。

怎麼判斷 Bot 開發者可信

1. 開源: 可以看 source code 的最強(目前 Yieldsforge 公開 backtest 方法論,source code 2026 Q3 規劃)
2. 品牌歷史: Coinlend / Cryptolend 跑 5+ 年沒爆過,信任度高(雖然抽成很重,看 comparison)
3. 可審計: dashboard 顯示 bot 的所有動作(下單、取消、成交)讓你 verify
4. 明確 not custodial: bot 開發者強調「我不持有資金、無法提領」

Revoke 怎麼做

如果你要停 bot、或懷疑 key 外洩:

1. Bitfinex 後台 → API Keys
2. 找到對應 label 的 key → 「Revoke」
3. 立刻生效 — bot 下次嘗試 call API 會被拒絕

Yieldsforge 偵測到 key 失效會自動暫停、發 email 通知。

延伸閱讀

• Funding bot 完整比較
• Bitfinex Funding APR 完整解析
• 為什麼 Bitfinex Funding 是最好的 USDT 收益
• Bitfinex Funding 適合多少資金

Yieldsforge 7 天免費試用 →

---

揭露: 本文作者是 Yieldsforge 開發者。所有截圖描述基於 Bitfinex 2026-05 介面,可能更動。本文為教學性質,不構成投資建議。