Een API is de verbindende laag waarmee de ene applicatie met de andere kan communiceren, zonder dat beide kanten de interne code van elkaar hoeven te kennen. In de cryptowereld vormt dit de leidingen achter vrijwel elke geautomatiseerde interactie met een exchange, blockchain explorer of prijsaggregator: in plaats van dat iemand door een website klikt, roept een script een vaste set endpoints aan en krijgt daarvan gestructureerde data terug, meestal in JSON-formaat.
Exchanges bieden doorgaans twee soorten API's aan. Een REST API werkt op basis van vraag en antwoord: een programma vraagt om een saldo, een prijs of de status van een order en ontvangt daarop één momentopname. Een WebSocket API houdt in plaats daarvan een verbinding open en stuurt updates op het moment dat ze gebeuren, wat verklaart waarom de meeste trading bots en orderboek-tools voor live prijsdata leunen op streaming-feeds in plaats van steeds opnieuw een REST endpoint te bevragen.
Toegang wordt geregeld via een API key, doorgaans een publieke identifier gekoppeld aan een privé secret waarmee elk verzoek wordt ondertekend. Keys kunnen worden beperkt tot specifieke rechten, zoals alleen-lezen marktdata, handelen of opnames, zodat een gelekte key niet automatisch volledige controle over het account geeft. Exchanges hanteren ook rate limits, die het aantal calls per minuut per key begrenzen, om hun infrastructuur tegen misbruik te beschermen.
Naast exchanges publiceren ook node providers, block explorers voor chains zoals Ethereum, en data-aggregators eigen API's, waarmee ontwikkelaars wallets, dashboards en bots kunnen bouwen zonder eigen servers te draaien. Omdat een key met handelsrechten echt geld kan verplaatsen, zijn het beperken van rechten en het nooit insluiten van keys in client-side code basale beveiligingsgewoontes voor iedereen die hierop bouwt.