Do I need a separate wallet for my bot?

Strongly recommended yes. Use a fresh EOA or a fresh email-account-derived proxy wallet that holds only the capital you have allocated to the bot. If the bot key leaks, only the bot funds are at risk - your main holdings stay safe.

What is sigType 2 in Polymarkets API?

sigType 2 indicates a Gnosis Safe (proxy wallet) signature, used when you log in with email/Google and Polymarket creates the proxy for you. For sigType 2, the POLY_FUNDER_ADDRESS environment variable must be the PROXY address (the one shown in the Polymarket UI), not the underlying EOA. This is a common configuration bug.

How do I generate a Polymarket API key?

Use the SDK. In Python: ApiCreds returned by client.create_api_key() once you have authenticated with your wallet. In Node.js: similar via @polymarket/clob-client-v2 client.createApiKey(). Save the returned key/secret/passphrase to your .env (never commit to git).

Are Polymarket API keys revocable?

Yes. You can derive new keys at any time via the SDK; old keys remain valid until explicitly revoked via client.deleteApiKey(creds). Best practice is to rotate keys periodically and revoke any key that touched a compromised machine.

What changed when Polymarket migrated from Magic Labs to Privy?

Login OTP codes went from 3 digits (vulnerable to brute force, exploited in the December 2025 hack) to longer codes plus device binding via Privy. For bots, the practical change is the auth ceremony - the SDK abstracts most of it. If your bot was hard-coded to Magic Labs API endpoints (rare), update to the Privy flow.

Should I store keys in a .env file?

For a single-VPS bot - yes, with proper file permissions (chmod 600 .env, owned by the bot user). For multi-machine setups or production-grade ops - move to a secrets manager (AWS Secrets Manager, Vault, doppler.com). Never commit .env to git, ever.

Intermédiaire

Portefeuilles de bot Polymarket, authentification et gestion des clés

Authentification des bots Polymarket et configuration des wallets : proxy wallets vs EOA, génération d’API key via SDK, sigType 2 pour Gnosis Safe, bonnes pratiques de stockage des clés et migration de Magic vers Privy.

Par Harley Young 12 min de lecture Mis à jour : 2026-05-01

Polymarket Bot Tutorial · Chapitre 6 sur 32

Authentification du Polymarket bot et configuration du wallet: proxy wallets vs EOA, génération de clé API via SDK, sigType 2 pour Gnosis Safe, bonnes pratiques de stockage des clés, et la migration de Magic vers Privy.

Par Harley Young, rédactrice en chef chez Polymarkets.co.il. Dernière révision: mai 2026.

Ce que couvre ce chapitre

Le modèle de wallet de Polymarket comporte trois éléments principaux: un externally owned account (EOA) qui signe les ordres, un smart-contract proxy qui détient les fonds, et la clé API Polymarket CLOB qui authentifie les requêtes HTTP. Les configurer correctement est de loin l'échec le plus courant le premier jour pour les nouveaux builders, et cela est devenu encore plus confus après la migration d'août 2025 de Magic Labs vers Privy. Ce chapitre passe en revue chaque élément dans l'ordre de configuration, avec les variables d'environnement spécifiques et le flag de signature type dont le code de production a besoin.

Proxy wallet vs EOA: lequel utiliser pour botter
Générer une API key (étapes SDK)
sigType 2 et POLY_FUNDER_ADDRESS (Gnosis Safe)
Stockage des clés: .env, vault, KMS
La migration de Magic Labs vers Privy
Approbation des dépenses USDC/pUSD
Récupération et sauvegarde du wallet

Proxy wallet vs EOA: lequel utiliser pour botter

Polymarket utilise un modèle de smart-contract proxy wallet. Votre EOA - l'adresse liée à votre private key - signe les transactions et les ordres. Un Gnosis Safe déployé à une adresse déterministe détient le pUSD réel et les outcome shares. L'adresse proxy est celle qui apparaît dans le panneau "wallet" de l'interface Polymarket; l'EOA est ce qui signe.

Pour les bots, vous signez toujours avec l'EOA (PRIVATE_KEY dans l'env) et vous référencez l'adresse proxy comme POLY_FUNDER_ADDRESS dans la configuration du client CLOB. Envoyer des ordres avec l'EOA comme funder provoque des erreurs "insufficient balance" même lorsque le proxy est approvisionné.

Vous ne pouvez pas botter avec l'EOA seule - le flux web de Polymarket crée toujours un proxy lors de l'inscription. Confirmez les deux adresses avec polymarket wallet show depuis la CLI, ou lisez l'adresse proxy dans les paramètres de l'interface Polymarket.

Générer une API key (étapes SDK)

L'API CLOB nécessite trois credentials: key, secret, passphrase. Ce ne sont pas la private key de votre wallet - ce sont un ensemble de credentials de type HMAC liés à votre wallet, utilisés uniquement pour l'authentification des requêtes HTTP.

Générez-les une fois avec le SDK:

# Python
from py_clob_client.client import ClobClient
c = ClobClient(host="https://clob.polymarket.com", chain_id=137,
               key="<PRIVATE_KEY>", signature_type=2,
               funder="<PROXY_ADDRESS>")
creds = c.create_or_derive_api_creds()
print(creds.api_key, creds.api_secret, creds.api_passphrase)

Stockez la sortie dans un fichier JSON et chargez-la à chaque démarrage du bot; ne régénérez pas à chaque session - le serveur API met en cache l'ensemble de credentials, et une rotation trop fréquente peut déclencher la logique de rate limit. Les credentials n'expirent jamais automatiquement. Faites-les tourner uniquement si vous suspectez une fuite.

sigType 2 et POLY_FUNDER_ADDRESS (Gnosis Safe)

L'argument signature_type contrôle la manière dont le CLOB valide les signatures de vos ordres. Trois valeurs existent; deux sont réelles:

0 / EOA: l'EOA est à la fois signataire et funder. Utilisé pour des configurations inhabituelles où les utilisateurs ont importé directement une private key.
1 / POLY_PROXY: smart contract proxy hérité de Magic Labs. La plupart des comptes créés avant 2025.
2 / POLY_GNOSIS_SAFE: standard actuel. Les fonds sont dans un Gnosis Safe, l'EOA signe.

Utilisez signature_type=2 pour tout compte créé après août 2025 (la migration Privy) ou tout compte pour lequel vous pouvez voir une adresse Gnosis Safe dans l'interface Polymarket. La variable d'environnement POLY_FUNDER_ADDRESS doit être l'adresse du Safe, pas celle de l'EOA. Un signature_type incohérent par rapport au type de funder produit silencieusement des rejets d'ordres qui ressemblent à "insufficient allowance" ou "balance: 0" - le message d'erreur est trompeur.

Stockage des clés: .env, vault, KMS

Trois niveaux de stockage raisonnables pour la private key de l'EOA.

Fichier .env (développement sur une seule machine). Le fichier se trouve sur le VPS, le bot le lit au démarrage, la clé ne quitte jamais l'hôte. Suffisant pour des wallets de <1k$. chmod 600 .env et assurez-vous que le .gitignore de votre repo l'exclut.
Vault auto-hébergé (HashiCorp Vault, fichier chiffré avec age, ou systemd-creds). Ajoute une étape de déverrouillage au démarrage du bot. Cela vaut le coup pour des wallets dans la plage 1k$-10k$.
Cloud KMS (AWS KMS, GCP KMS). Le bot appelle KMS pour déchiffrer la clé en mémoire; la clé ne touche jamais le disque. Cela ne vaut la complexité opérationnelle qu'au-dessus de 10k$ ou pour des flottes multi-bot.

Ce qu'il ne faut jamais faire: committer une private key dans git, la coller dans un chat, la stocker dans un password manager qui se synchronise avec des services cloud sans mode local-only. Le rayon d'explosion on-chain d'une fuite de l'EOA Polymarket, c'est l'intégralité de votre solde pUSD et de votre inventaire d'outcome shares.

La migration de Magic Labs vers Privy

En août 2025, Polymarket a migré son principal fournisseur de embedded wallet de Magic Labs vers Privy. L'effet côté bot est faible mais précis.

Les comptes d'avant migration (créés via Magic) utilisent généralement signature_type=1 (POLY_PROXY). Les comptes créés après migration utilisent signature_type=2 (POLY_GNOSIS_SAFE). Certains utilisateurs ont migré leur ancien compte; d'autres ont conservé l'original. Il n'existe aucun moyen de savoir via l'API publique quel type votre compte utilise - vous le vérifiez en essayant de signer un ordre et en observant le rejet.

La migration a également changé la façon dont l'interface expose l'adresse du funder. Les anciens flux de l'interface Polymarket affichaient l'adresse proxy dans le tableau de bord; le flux actuel la cache dans les paramètres du compte. La commande CLI polymarket wallet show est la manière la plus simple de confirmer les deux valeurs, quelle que soit la date de création du compte.

Approbation des dépenses USDC/pUSD

Pour que le CLOB déplace votre pUSD lors de l'exécution d'un ordre, le proxy doit avoir approuvé les contrats d'échange Polymarket comme spenders. L'interface Polymarket définit ces approvals lors du premier dépôt. Pour les bots qui alimentent directement le proxy, vous devez les définir manuellement.

Trois approvals à définir, une fois par wallet:

pUSD (ERC-20) → contrat d'exchange
Conditional Tokens (ERC-1155) → contrat d'exchange (pour vendre des shares)
Conditional Tokens (ERC-1155) → contrat d'exchange NegRisk (pour vendre des shares NegRisk)

Exécutez polymarket approve depuis la CLI lors de la première configuration. La transaction coûte quelques centimes en gas MATIC. Vérifiez avec polymarket approve check - les trois doivent renvoyer "approved." Le bug silencieux le plus courant pour les nouveaux builders est l'approval NegRisk manquante, qui n'échoue que lors de la vente de shares sur des marchés multi-outcomes et ressemble à une erreur de solde.

Récupération et sauvegarde du wallet

Le wallet du bot comporte deux éléments récupérables: la private key de l'EOA, et le mot de passe du compte Polymarket (qui contrôle l'accès via l'interface web mais pas via le SDK).

La private key de l'EOA est la seule chose qui compte pour le bot. Perte = perte de tout ce qui se trouve dans le proxy. Sauvegarde à froid: écrivez-la sur papier, scellez-la dans une enveloppe, conservez-la hors site. Sauvegarde à chaud: clé USB chiffrée. Ne vous l'envoyez jamais par email; ne la stockez jamais non chiffrée dans un cloud storage.

Le mot de passe du compte Polymarket est récupérable via la récupération email de Magic Labs / Privy tant que vous contrôlez encore l'email d'inscription d'origine. Il ne bloque pas l'accès au bot - le bot utilise directement la private key de l'EOA.

Si vous soupçonnez une fuite de clé: immédiatement retirez le pUSD et les tokens d'outcome vers un nouveau wallet, générez une nouvelle EOA, redéployez le bot avec la nouvelle clé. La clé divulguée ne peut pas être révoquée; elle ne peut qu'être vidée.

Questions fréquemment posées

Ai-je besoin d'un wallet séparé pour mon bot?

Oui, fortement recommandé. Utilisez une EOA fraîche ou un proxy wallet fraîchement dérivé d'un compte email qui ne contient que le capital que vous avez alloué au bot. Si la clé du bot fuit, seuls les fonds du bot sont menacés - vos avoirs principaux restent en sécurité.

Qu'est-ce que sigType 2 dans l'API Polymarkets?

sigType 2 indique une signature Gnosis Safe (proxy wallet), utilisée lorsque vous vous connectez avec email/Google et que Polymarket crée le proxy pour vous. Pour sigType 2, la variable d'environnement POLY_FUNDER_ADDRESS doit être l'adresse du PROXY (celle affichée dans l'interface Polymarket), et non l'EOA sous-jacente. C'est un bug de configuration courant.

Comment générer une Polymarket API key?

Utilisez le SDK. En Python: ApiCreds renvoyés par client.create_api_key() une fois que vous vous êtes authentifié avec votre wallet. En Node.js: similaire via @polymarket/clob-client-v2 client.createApiKey(). Enregistrez la key/secret/passphrase renvoyée dans votre .env (ne jamais committer dans git).

Les Polymarket API keys sont-elles révocables?

Oui. Vous pouvez dériver de nouvelles keys à tout moment via le SDK; les anciennes keys restent valides jusqu'à révocation explicite via client.deleteApiKey(creds). La bonne pratique consiste à faire tourner les keys périodiquement et à révoquer toute key ayant touché une machine compromise.

Qu'est-ce qui a changé lorsque Polymarket est passé de Magic Labs à Privy?

Les codes OTP de connexion sont passés de 3 chiffres (vulnérables au brute force, exploités dans le hack de décembre 2025) à des codes plus longs, avec device binding via Privy. Pour les bots, le changement pratique concerne la cérémonie d'auth - le SDK en abstrait la majeure partie. Si votre bot était codé en dur sur les endpoints API de Magic Labs (rare), mettez à jour vers le flux Privy.

Dois-je stocker les clés dans un fichier .env?

Pour un bot sur un seul VPS - oui, avec des permissions de fichier appropriées (chmod 600 .env, appartenant à l'utilisateur du bot). Pour des configurations multi-machines ou des opérations de niveau production - passez à un secrets manager (AWS Secrets Manager, Vault, doppler.com). Ne committer jamais .env dans git, jamais.

Sujets

Voir tous les marchés →

Vainqueur de la Coupe du Monde

France18%OuiNon

Espagne13%OuiNon

Accord de paix permanent entre les États-Unis et l'Iran d'ici...?

June 3099%OuiNon

December 3199%OuiNon

FIFWC17/06 17:00

République démocratique du Congo0-0-0

Portugal0-0-0

7.0¢cdr16.0¢Match nul76.0¢prt

3 marchés$3.2M

Coupe du Monde : Vainqueur du Soulier d'Or

Kylian Mbappe26%OuiNon

Lionel Messi24%OuiNon

Bitcoin au-dessus de ___ le 17 juin ?

52,00099%OuiNon

58,00099%OuiNon

À propos de l'autrice

Harley Young

Rédactrice principale

Harley Young est la rédactrice principale de Polymarkets.co.il et la signature derrière la plupart des guides, des explications de marchés et des analyses d'actualité longues du site. Harley couvre la mécanique des marchés de prédiction, la microstructure du carnet d'ordres, les litiges UMA, ainsi que le contexte réglementaire et fiscal israélien pour la crypto et le trading d'événements. Les articles sont fondés sur la recherche et mis à jour dès que les données de résolution ou les conditions on-chain modifient l'analyse.

Voir tous les auteurs →

Plus de guides

Débutant Qu'est-ce que Polymarket ? Guide débutant (Comment ça marche 2026) Qu'est-ce que Polymarket ? Guide débutant pas à pas pour placer votre premier pari prédictif. Découvrez commen

Débutant Comment créer un compte Polymarket (guide étape par étape) Guide étape par étape pour créer votre compte sur Polymarket. Couvre les méthodes d'inscription par e-mail, Go

Débutant Comment déposer de l'argent sur Polymarket (méthodes les moins chères en 2026) Le guide complet 2026 pour les dépôts sur Polymarket. Comparez côte à côte la carte de crédit (1-4.5 %), le tr

Débutant Comment retirer des fonds sur Polymarket vers votre banque ou wallet (2026) Guide complet des retraits sur Polymarket. Étape par étape : retirer des USDC vers des exchanges, des comptes

Débutant Votre premier trade sur Polymarket – Guide complet étape par étape (2026) Un guide véritablement étape par étape pour votre premier trade sur Polymarket. Lisez une page de marché, appr

Débutant Types de marchés sur Polymarket – Guide complet des catégories et structures Toutes les structures et catégories de marchés sur Polymarket expliquées : binaire, multi-issues, NegRisk, con

Voir tous les guides →

Table des matières

Trader sur Polymarket Ouvrez un compte Polymarket et commencez à trader

Interrogez nos guides

Les réponses proviennent de nos guides. À but éducatif uniquement.