经常看到有人在交易饰品时被骗,而且都是使用API劫持手段。

本篇主要解析Steam API劫持实现手段,以及回答两个重要问题:

1、仅通过API KEY能否查询、取消交易,或其他高权限操作?

2、如果不能,那骗子是如何监控你的交易动态进行交易篡改?

老样子,不想看分析可直接跳到文末看省流总结

从三方交易市场比如buff的交易欺诈手段有三种

第一种是买家是骗子,从三方市场向你发起交易请求,然后马上取消,紧接着从steam发起交易申请

此种方式不涉及盗号,仅考验你是否粗心(多为人不清醒的时间发起交易)

第二种是买家是骗子,但有两个号,从三方市场向你发起交易请求,然后马上取消,紧接着使用第二个steam号码发起交易申请。(两个号的目的是规避一些潜在限制)

此种方式也不涉及盗号,仅考验你是否粗心

第三种是你遇到了“API劫持”,买家从三方市场向你发起交易请求,马上被骗子取消,紧接着骗子伪装买家信息发起交易申请。(注意买家有可能就是骗子,因为这样不用蹲点,直接下套)

以上三种交易欺诈可能会同时使用诈骗短信、邮件进行诱导。

假冒buff短信2026-01-09T07:52:14.png

我们接着对第三种交易欺诈展开讲,以Buff交易饰品为例

正常交易流程如下,平台会检测你的库存和买家的库存,来确保双方财、货对等交换

buff交易流程

当遇到欺诈时,骗子取消了买家的报价,自己发起一个报价,卖家不仔细看确认交易,就会丢失饰品。

被“API”劫持后的交易流程

此种篡改交易方式,被广大网友称为“API 劫持”,

Buff和5cgame在交易指南中都指出API KEY可用于查询和取消交易报价。

buff关于API KEY权限说明

问题就出在这里,通过你申请的API KEY就能取消交易吗?

我在所有能搜索到到的关于Steam API欺诈的文章和视频全都指向“你泄露了你申请的API Key”。

为此我做了很多考证和实验,最终认为“API KEY不能查看交易、取消报价。API KEY不是导致交易被篡改的渠道

为防止信息混淆,在本文做如下约定:

其一,你在Steam商店申请的API key叫做Steam Web API key,下面简称Web API

主要提供给外部网站,用于帮玩家实现定制化统计等功能

其二,Steam商店/游戏内所有功能的交互实现,统称为SteamWork Web API,下面简称SteamWork API

主要用于游戏开发者、合作伙伴创建/获取用户数据,如添加新的库存物品

你在Steam网页或客户端申请的开发者Key(下文简称API KEY),是属于前者。

50533-f2ri550eox6.png

理解了上面两种API的区别后,我们需要知道“你申请的API KEY”能做哪些事情,能不能获得交易记录?能不能撤销交易

答案是不能。我检查了V社提供的210个Web API, 没有一个接口跟交易有关。

申请的Key配套的Web API中没有交易相关接口

那Buff也是用API KEY,为什么能自动发起报价、超时取消交易?

如下图所示,第一次使用Buff时它会获取你的登录凭证(也叫令牌、token)

此后使用你的登录凭证进行交易操作,此操作就跟你在Buff的云端电脑浏览器登录Steam无异

api key能使得网站获取玩家数据变得异常简单

那图里的这部分信息如获取封禁状态、个人信息、库存不用API KEY能不能查看?

当然可以,你浏览器登录Steam后产生的登录凭证权限更大,不仅能看还能取消交易、移除库存等等。

所以就算你不申请API KEY,第三方交易市场仍然可以通过你的登录凭证篡改交易

如果你依然坚持认为一定有某种手段通过API KEY就能获取交易、取消交易,请看下面的演示

如下图,我从Steam官方开发者文档得到了获取交易记录的接口,传入我申请的API KEY,结果是获取不到任何记录(哪怕你有进行中的报价单)

83271-g75to2aprwh.png

但是如果我传入的是"从浏览器获取到的临时令牌",则可以得到交易详情

浏览器的Steam登录凭证位置

使用登录凭证可以取得完整交易信息

以上图里的验证表示,你申请的API KEY甚至连获取交易记录功能都没有,更不用说取消交易了

需要注意的是,2025年(具体时间存疑)之前的API KEY是可以用于查询交易记录的,后来V社才禁止了,关于此讨论详情请参考文末的资料

有了以上信息,我们现在知道API KEY不是篡改交易的必要条件,浏览器里的的登录凭证才是

那骗子怎么获得你的登录凭证呢?

我翻了大量受害案例,从中提取到的无一例外都指向盗号。是的,你没听错,是盗号。但是受害者因为听过API劫持,而且补救教程里都说到需要修改API KEY,这导致玩家潜移默化认为“是自己申请的API KEY被劫持导致的”

通过以上层层信息佐证,我们现在能给出确切的答复

1、你申请的API KEY泄露,不会让你的Steam账户立于危墙之下

(API KEY所能做的都是只读信息)

2、你的交易被监听、取消,那就是被盗号了,盗号后并不需要你的API KEY就能实施交易欺诈

(严格来说,盗号后的洗库存、篡改交易等,本质都是API劫持,利用冒充身份监听、修改数据,但这不是玩家理解的API KEY泄露导致的API劫持)

我们接着聊几个常见问题

为什么很多文章都说“API KEY有权限查询交易、取消交易”??

API KEY之前可以用于查询交易,但2025年(具体时间不详)禁止了。

关于取消交易操作,我参考了相关功能的开源库、技术贴,都没看到API KEY能用于取消交易。所有的交易取消用的都是登录凭证。API KEY从来都没这个权限。

但不排除以前真的可以用于取消交易,毕竟我不玩CS和交易市场,对其历史不了解

我也没登陆过乱七八糟的网站或者使用壁纸引擎,但还是被篡改交易怎么解释?

做过技术客服的盒友应该深有体会,用户(玩家)自认为清楚自己的所有行为。但实际在技术人员看来,玩家的描述非常模糊,充满了不确定性

玩家认为扫码是安全行为,所以他扫码登录了一个查看steam账户价值的网站,殊不知这是盗号网站。此后依然坚定认为没登录过奇怪的网站

玩家说自己从不下载奇怪来源的应用,但是对天天吹水的群友分享的小黄油程序毫无提防

玩家下了一个修改器也的确能用,他认为能用=安全,其实附属的木马已经在悄然运行。

以上种种行为,在心理学上可以归类为确认偏误和达克效应。人们倾向于寻找、解释和记住那些支持自己已有信念的信息,而忽视或贬低与之相矛盾的证据,且因为计算机知识储备有限,判断失误低估风险。

骗子盗号后为什么不直接洗库存而是等待出现交易再篡改?

原因很简单,发起交易需要邮箱/手机令牌确认,所以盗号后一直潜伏。

当然,实际上你遇到的买家,有可能就是骗子,即向你发起交易的两个买家,是同一个骗子不同账户,就像我一开始说的三种交易欺诈手段一样。

我在被盗号后,什么都改了,也只在自己电脑登录,但是还是再次被盗

这种情况,要么是你邮箱被盗,要么你电脑有潜伏的木马没清理,才能形成反复盗号操作。

怎么分辨此种骗局?

我的建议是,除了核对饰品本身信息是否完全一致外,唯一手段是在浏览器上核对买家的Steam ID,他能伪造任何信息但是伪造不了Steam ID

55435-okt3vkt1i1o.png

91512-psmlycagkpm.png

Steam交易链接有什么权限?为啥没讲

你设置了交易链接后,等同于公开你的“可交易库存”,除了看你库存,没有其他功能,所以没讲

省流总结

1、你不申请API KEY,在第三方网站交易,盗号者一样能篡改你的交易

2、API KEY不能获取交易记录、不能取消报价。API KEY泄露不是篡改交易的关键原因

3、如果你发现你收到的交易请求突然显示为拒绝(拒绝只有自己账户能发起,取消是买家发起的),那你一定是被盗号了

4、短时间内“同一个买家”再次发起交易报价,如果你无法分辨,建议放弃本次交易,直接当诈骗处理

5、买家的头像、昵称、注册年限都不可靠,只有买家主页的Steam ID是唯一有效辨识符

6、发现有篡改交易,第一时间改密码,踢设备,其次才是修改API KEY和交易链接