你的資金，永遠在你自己手上

2022 年 12 月，加密自動交易最大品牌 3Commas 發生史上最嚴重的 API key 外洩事件。當時他們託管 超過 100 萬把 交易所 API key，外洩約 10 萬把，鏈上分析師 ZachXBT 驗證 44 名受害者損失 $14.8M、總被盜估計約 $22M。CEO 起初否認，後公開承認，請求 Binance / OKX / KuCoin 撤銷 key — 因為 key 屬於別人的平台，3Commas 無法單方修復。

這事件揭露了一個結構性問題：「託管型 bot 平台」的單一資料庫一旦被打穿，所有用戶資金同時暴露。TVSBot 的設計從第一天起就為了避開這個失靈模式。

1. Fernet AES-128-CBC 加密儲存

你的 API key + secret 一進資料庫就用 Fernet 對稱加密 包起來。Fernet 是 Python cryptography 函式庫提供的 AEAD scheme（含 AES-128-CBC + HMAC-SHA256），業界廣泛使用。

加密金鑰 FERNET_MASTER_KEY 存在 Fly secrets，**不會進 git，不會進 DB backup，不會存任何 log**。

GitHub 開源 PoC（部分）：app/services/crypto.py 可審核。

2. 強制 Order-only 權限

我們每天掃所有 active API key，呼叫交易所 API 確認權限。任何帶有 Withdraw（提幣）旗標的 key 自動停用，並 TG 通知你。

這代表即使 key 被偷，攻擊者也無法提幣轉走你的資金 — 只能下單交易，最壞情況是 wash trade 損失少量手續費。

3. IP 白名單建議

各交易所 API 都支援 IP 白名單。我們文件建議用戶設定為 TVSBot 的 Fly egress IP，進一步限縮 blast radius。設了之後就算 key 完全外洩，沒在白名單也呼叫不了。

4. 訊號不經 secret URL

每個用戶的 webhook URL 帶獨立 token，payload 內另帶 secret 雙重驗證。一個外洩無法繞過另一個。

• 事件揭露：任何安全事件 72 小時內公開揭露，包含影響範圍、技術原因、修復狀況。
• 加密實作公開：我們不靠 obscurity 安全。加密演算法、key derivation、儲存方式都列在這頁。
• 第三方稽核（規劃中）：2026 Q3 安排第一次外部安全稽核。
• Bug bounty（規劃中）：見下方獨立區塊。

歡迎 ethical security researchers 回報漏洞。我們提供合理獎勵。

• 文件 — API key 申請流程（如何只開 Trade 權限）
• 服務條款
• 隱私權政策