Ceci n'est pas le site officiel de pump.fun ni de PumpSwap, et nous n'opérons pas leur infrastructure. Nous sommes un projet indépendant, axé sur l'audit. Là où nous mentionnons des comportements ou des chiffres précis, vérifiez-les sur le site officiel pump.fun et dans la documentation de votre fournisseur de données — les API changent sans préavis.
- Ce que veulent vraiment les développeurs
- Existe-t-il une API officielle pump.fun ?
- RPC on-chain vs indexeurs tiers
- Capacités et limites typiques
- Sources de données comparées
- Limites de débit et fiabilité
- Authentification et sécurité des clés API
- Une requête type, faite proprement
- Cas d'usage — et les risques en toute honnêteté
- Une checklist avant décollage
- FAQ
Ce que les développeurs veulent vraiment d'une « API pump.fun »
Quand les gens tapent API pumpfun dans une barre de recherche, ils cherchent presque toujours l'une de trois choses. Il vaut la peine de les nommer précisément, car elles ont des profils de difficulté et de risque très différents.
Données de tokens et de marché
Prix, capitalisation, holders, liquidité, progression de la bonding curve, historique des trades pour un token donné. Le pain quotidien des dashboards.
Flux de nouveaux lancements
Un flux en temps réel des tokens à mesure qu'ils sont créés, idéalement en quelques millisecondes, pour qu'un bot ou un système d'alerte puisse réagir avant tout le monde.
Exécution d'ordres
Acheter et vendre par programmation — construire et signer des transactions Solana contre la bonding curve ou le pool du DEX.
Les deux premiers sont des problèmes de lecture. Le troisième est un problème d'écriture, et c'est là que l'argent disparaît le plus vite — à la fois à cause des bugs et des attaquants. Gardez cette distinction en tête pour le reste de cette page, car les conseils de sécurité s'y ajustent.
Existe-t-il une API officielle pump.fun ?
Version courte : pas au sens où la plupart des développeurs l'entendent. Un échange centralisé comme CEX.IO ou Coinbase publie une API REST versionnée, un changelog, une documentation des limites de débit et un canal de support. pump.fun est un ensemble de programmes on-chain sur Solana avec un frontend web. La source de vérité canonique n'est pas un endpoint REST — c'est la blockchain elle-même.
Cela a deux conséquences. D'abord, n'importe qui peut lire les données, car elles sont publiques on-chain ; vous n'avez pas besoin de la permission de pump.fun. Ensuite, il n'y a pas de SLA, pas de service de support, et aucune garantie qu'un endpoint non documenté que le frontend appelle aujourd'hui existera encore demain. Certains font de la rétro-ingénierie sur les appels internes du site, et certains se brûlent quand ces appels changent ou se mettent à renvoyer des erreurs.
Si vous trouvez une « API pump.fun » qui n'est pas sur le site officiel pump.fun, partez du principe que c'est un wrapper non officiel ou un indexeur tiers. Ce n'est pas automatiquement mauvais — beaucoup sont excellents — mais cela signifie que vous faites confiance à un intermédiaire, et que des endpoints internes non documentés peuvent casser, vous limiter en débit ou être retirés à tout moment. Ne bâtissez pas une activité sur quelque chose sans contrat derrière.
RPC on-chain vs indexeurs tiers
Il existe deux façons honnêtes d'obtenir les données pump.fun, et la plupart des projets réels utilisent les deux.
1. RPC Solana (parler directement à la chaîne). Un nœud RPC Solana répond à des questions bas niveau : l'état d'un compte, le contenu d'une transaction, les logs émis par un programme et — via les websockets — un flux en direct de ces événements. Pour transformer cela en « le prix du token X », vous décodez vous-même les comptes de programme concernés. C'est flexible, peu coûteux et à confiance minimale, mais vous faites un vrai travail d'ingénierie, et les endpoints RPC publics sont fortement limités en débit et souvent surchargés.
2. Indexeurs tiers et API de données. Un indexeur est un service qui a déjà ingéré la chaîne, décodé les programmes pump.fun et DEX, et expose des requêtes conviviales : « nouveaux tokens de la dernière heure », « trades pour ce mint », « top holders ». Vous payez la commodité avec de l'argent et une dépendance de confiance — vous croyez que l'indexeur a tout décodé correctement et qu'il n'est pas discrètement en retard. Pour les flux de nouveaux lancements et l'analytique, un indexeur est généralement le choix pragmatique.
La règle empirique : utilisez le RPC quand l'exactitude et l'indépendance comptent (exécution, vérifications de règlement), et un indexeur quand la rapidité de développement et la richesse des requêtes comptent (dashboards, screeners). Voyez notre introduction à Solana pour comprendre comment les blocs de 400 ms et le modèle de frais de la chaîne façonnent tout cela, et le guide du swap DEX pour le comportement des pools une fois qu'un token sort de la bonding curve.
Capacités et limites typiques
Sur l'ensemble du RPC et des indexeurs courants, voici à peu près ce à quoi vous pouvez et ne pouvez pas vous attendre.
👍 Généralement disponible
- Prix, capitalisation et offre actuels pour un mint de token.
- Progression de la bonding curve et statut de graduation d'un token vers le DEX.
- Historique des trades et transactions récentes par token.
- Nombre de holders et distribution des top holders.
- Un flux quasi temps réel des tokens nouvellement créés (via websocket ou push d'indexeur).
👎 Limites et pièges
- « Temps réel » signifie quand même des dizaines à des centaines de millisecondes — les bots à infra co-localisée vous battent.
- Les métadonnées peuvent être falsifiées : nom, symbole et image ne disent rien de la sécurité.
- Aucun endpoint ne vous dit qu'un token est une arnaque — c'est votre analyse, pas un champ.
- La profondeur historique varie énormément selon le fournisseur ; certains ne conservent que les données récentes.
- L'exécution exige de construire et signer vos propres transactions Solana — il n'y a pas de bouton « acheter » custodial derrière une API.
Sources de données comparées
Une comparaison sommaire et assumée de la façon dont les développeurs obtiennent les données pump.fun. Les limites et fonctionnalités précises dépendent entièrement du fournisseur et de l'offre — vérifiez toujours leur documentation à jour.
| Source | Effort de mise en place | Flux temps réel | Requêtes riches | Dépendance de confiance | Idéal pour |
|---|---|---|---|---|---|
| RPC Solana public | Faible | Limité | Non | Minimale | Bidouillage, lectures à faible volume |
| Fournisseur RPC payant | Moyen | Oui | Quelques-unes | Disponibilité du fournisseur | Exécution, lectures fiables |
| Indexeur tiers / API de données | Faible | Oui | Oui | Élevée | Dashboards, screeners, analytique |
| Endpoints scrapés non officiels | Faible | Peut-être | Peut-être | Élevée et fragile | Prototypes jetables |
| API d'échange documentée (ex. CEX.IO) | Moyen | Oui | Oui | Custodial | Prix et exécution stables avec support |
Les notes qualitatives reflètent notre lecture éditoriale au mois de 2026, et non des benchmarks fournisseurs. Vérifiez les capacités et les tarifs dans la documentation propre à chaque fournisseur.
Limites de débit et fiabilité
C'est la partie qui tue silencieusement les projets. Les endpoints RPC publics sont partagés et agressivement bridés ; dès que votre boucle de polling devient populaire, vous verrez des 429 Too Many Requests et des connexions websocket coupées. Les indexeurs ont leurs propres limites par paliers, souvent exprimées en requêtes par seconde plus un plafond mensuel.
Concevez de façon défensive dès le premier jour :
- Préférez les abonnements au polling. Un flux websocket de nouveaux événements est moins coûteux et plus rapide que de marteler un endpoint REST chaque seconde.
- Temporisez sur les erreurs. Backoff exponentiel avec jitter sur les
429et les5xx, et non une boucle de réessais serrée qui aggrave le bridage. - Mettez en cache agressivement. Les métadonnées de token et les trades historiques ne changent pas ; ne les re-téléchargez pas.
- Ayez une solution de repli. Un deuxième RPC/indexeur vers lequel basculer quand le principal se dégrade. Dépendre d'un seul fournisseur est un point unique de défaillance.
- Attendez-vous aux pannes. Solana a déjà connu des ralentissements et des arrêts réseau. Votre bot doit échouer en sécurité — ne rien faire — plutôt que d'envoyer des ordres à l'aveugle dans le chaos.
L'offre API la moins chère et la stratégie de trading la plus haute fréquence sont mutuellement exclusives. Si votre avantage repose sur le fait d'être plus rapide que tout le monde, vous êtes dans une course à l'armement d'infrastructure que vous ne pouvez probablement pas gagner contre des bots financés.
Authentification et sécurité des clés API
Les appels RPC en lecture seule vers un nœud public ne nécessitent souvent aucune clé. Tout ce qui est sérieux, oui : les fournisseurs RPC payants et les indexeurs délivrent des clés API, et tout endpoint capable de trader en votre nom (sur un échange centralisé) délivre des clés qui peuvent déplacer de l'argent. Le modèle de menace est complètement différent entre les deux, et vous devriez traiter les clés de trading comme des munitions réelles.
Une clé de données en lecture seule qui fuite vous coûte un peu de quota. Une clé de trading avec autorisation de retrait qui fuite peut vider votre compte avant que vous ayez fini de lire cette phrase. Les règles ci-dessous ne sont pas un raffinement optionnel — elles font la différence entre un bug et une catastrophe.
- Ne committez jamais de clés. Aucune clé dans le code source, les fichiers de config du dépôt, les captures d'écran ou le JavaScript côté client. Utilisez des variables d'environnement ou un gestionnaire de secrets. Ajoutez
.envau.gitignoredès le premier jour, et scannez votre historique — une clé poussée une fois est scrapée en quelques minutes. - Moindre privilège. Créez une clé distincte par application, avec uniquement les permissions dont elle a besoin. Un dashboard reçoit une clé en lecture seule. Un enregistreur de prix n'a jamais besoin de la portée trading.
- Désactivez les retraits. Sur toute clé de trading, coupez l'autorisation de retrait/transfert. Un bot qui achète et vend n'a pas besoin de pouvoir envoyer des fonds hors de la plateforme.
- Liste blanche d'IP. Liez la clé à l'IP (ou aux IP) fixe(s) de votre serveur. Une clé volée est bien moins utile si elle ne fonctionne que depuis votre machine.
- Rotation et surveillance. Faites tourner les clés selon un calendrier et immédiatement si quelque chose semble anormal. Alertez sur les usages inattendus. Gardez des clés distinctes pour le dev et la production afin qu'une clé de test fuitée ne puisse pas toucher de vrais fonds.
Pour l'exécution non custodiale contre pump.fun lui-même, il existe une version encore plus tranchante de tout cela : vous signez des transactions Solana avec une clé privée de wallet. Cette clé est les fonds. Faites tourner l'automatisation contre un hot wallet dédié ne contenant que ce que vous pouvez perdre, jamais votre wallet principal — notre guide des wallets et de la self-custody couvre les règles de seed phrase qui comptent ici.
Une requête type, faite proprement
Voici un exemple minimal et illustratif de lecture de données depuis un fournisseur, avec la clé tirée de l'environnement — jamais codée en dur. L'URL, le nom de l'en-tête et la forme de la réponse sont des espaces réservés ; utilisez le format documenté de votre fournisseur réel.
# 1) Mettez la clé dans votre environnement, PAS dans le code ou le dépôt :
# export DATA_API_KEY="votre-cle-en-lecture-seule"
curl -s "https://api.example-indexer.com/v1/token/<MINT_ADDRESS>" \
-H "Authorization: Bearer ${DATA_API_KEY}" \
-H "Accept: application/json"
# Exemple Node — clé lue à l'exécution, portée en lecture seule :
# const key = process.env.DATA_API_KEY;
# const res = await fetch(`${BASE}/v1/token/${mint}`, {
# headers: { Authorization: `Bearer ${key}` }
# });
# if (!res.ok) { /* temporisez sur 429 / 5xx, NE bouclez PAS serré */ }
L'erreur la plus courante est de coder la clé en dur comme Authorization: Bearer sk_live_abc123 et de la pousser. Les dépôts publics sont scannés en continu par des bots ; une clé de trading committée peut être détournée en quelques minutes, et réécrire l'historique git ne dé-fuite rien. Si un secret touche un jour à un commit, révoquez-le et faites-le tourner — ne vous contentez pas de supprimer la ligne.
La même discipline s'applique à une API d'échange documentée : clés dans les variables d'environnement, retraits désactivés, restriction par IP. La mécanique est la même que vous lisiez des prix de memecoins ou que vous placiez des ordres spot.
Cas d'usage — et les risques en toute honnêteté
C'est ici que le sujet devient un retour à la réalité. Voici les trois choses que les gens construisent, classées approximativement du « plutôt sûr » au « plus susceptible de perdre de l'argent ».
Analytique et dashboards (risque le plus faible)
Screeners en lecture seule, graphiques de distribution des holders, suivis de volume, alertes sur les nouveaux lancements. C'est la catégorie la plus sûre car rien ne s'exécute — le pire des cas, ce sont de mauvaises données ou un quota grillé. C'est aussi réellement utile : un bon dashboard vous aide à éviter les mauvais tokens, ce qui a plus de valeur que de courir après les bons. Construisez avec une clé en lecture seule, mettez fortement en cache, et vous êtes en terrain solide.
Bots d'alerte et sniper (risque élevé)
Des bots qui surveillent le flux de nouveaux lancements et réagissent — en vous pingant, ou en achetant automatiquement. Le fantasme, c'est d'être premier ; la réalité, c'est que vous courez contre des opérations à l'infrastructure plus rapide, à l'accès payant au mempool et à la co-location. Le temps que votre websocket RPC public livre un événement, le prix que vous obtiendriez est souvent déjà pire. Et le flux est rempli d'appâts : des tokens frauduleux conçus spécifiquement pour attirer les bots sniper.
Bots de trading automatisés (risque le plus élevé)
Du code laissé sans surveillance qui achète et vend avec de vrais fonds. Soyez franc avec vous-même : la plupart des bots de trading retail perdent de l'argent, et les bots de memecoins en perdent plus vite. Les raisons se cumulent :
Latence
Vous êtes plus lent que des concurrents financés. Les bonnes exécutions sont parties avant que votre ordre n'atterrisse.
MEV et sandwiching
Les bots peuvent voir votre transaction et trader autour : ils achètent avant vous et vendent sur votre ordre, de sorte que vous obtenez un prix moins bon.
Frais et slippage
Les frais de swap, les frais réseau et le slippage sur une liquidité mince érodent discrètement chaque aller-retour, gagnant ou perdant.
Ajoutez les risques opérationnels — un bug de logique, un cas limite non géré, un flux de prix périmé, un arrêt réseau en plein trade — et un bot sans surveillance peut consumer un wallet pendant que vous dormez. Si vous en construisez un quand même, faites-le sur un hot wallet jetable avec un plafond de dépense strict, des coupe-circuits, et l'hypothèse que tout le solde peut disparaître. Considérez-le comme une façon coûteuse d'apprendre, pas comme une source de revenus.
Rien sur cette page n'est un conseil financier ni une stratégie qui rapporte de l'argent. Le scénario de base honnête pour un bot de memecoin automatisé est une perte. Nous expliquons comment la tuyauterie fonctionne pour que vous compreniez les risques — pas pour vous encourager à le pointer sur vos économies.
Si ce dont vous avez réellement besoin est une interface stable et documentée pour les prix et l'exécution — avec un changelog, du support et des limites de débit prévisibles — l'API d'un échange régulé est une fondation plus saine qu'un endpoint scrapé non officiel. Vous renoncez à la self-custody, mais vous gagnez en responsabilité.
Explorer une API de trading documentée→
Une checklist avant décollage, avant de livrer
- Choisissez la bonne source. Le RPC pour l'exactitude et l'exécution, un indexeur pour les requêtes riches, une API d'échange documentée quand vous voulez du support. Ne scrapez pas d'endpoints internes pour quoi que ce soit qui compte.
- Sécurisez chaque clé. Variables d'environnement ou gestionnaire de secrets, moindre privilège, retraits désactivés, IP en liste blanche, rotation planifiée.
.envdans le.gitignore. - Gérez les limites avec élégance. Abonnements plutôt que polling, backoff exponentiel, mise en cache et un fournisseur de repli.
- Échouez en sécurité. Sur de mauvaises données, des erreurs ou un souci réseau, votre code doit ne rien faire plutôt que deviner.
- Limitez le rayon d'explosion. Hot wallet dédié, plafond de dépense strict, coupe-circuit. N'automatisez jamais des fonds que vous ne pouvez pas perdre.
- Vérifiez contre la source. Recoupez les chiffres critiques (soldes, exécutions) contre la chaîne via RPC, pas seulement un indexeur.
Vous voulez voir où ces données aboutissent dans l'interface réelle ? Notre visite de l'app et notre tutoriel de swap montrent le côté front-end de la même tuyauterie on-chain que vous interrogeriez.
FAQ
Existe-t-il une API officielle pump.fun ?
Il n'existe pas d'API REST publique largement documentée et officiellement prise en charge pour les développeurs grand public, comme en publie un échange centralisé. La plupart des développeurs lisent les données pump.fun directement sur la blockchain Solana via RPC, ou paient un indexeur tiers qui a fait ce travail à leur place. Considérez toute « API pump.fun » qui n'est pas sur le site officiel comme non officielle et non prise en charge.
Puis-je récupérer les nouveaux lancements de tokens en temps réel ?
Oui, mais pas via un flux officiel magique. Les nouveaux lancements sont des transactions de programme sur Solana : vous vous abonnez donc au programme concerné via un RPC websocket, ou vous utilisez un indexeur tiers qui diffuse les événements de nouveaux lancements. Les deux ont de la latence, et vous êtes en concurrence avec des bots qui paient pour une infrastructure plus rapide.
Ai-je besoin d'une clé API pour lire les données pump.fun ?
Lire les données brutes on-chain via un nœud RPC public ne nécessite généralement aucune clé, mais les nœuds publics ont un débit limité et ne sont pas fiables. Pour tout usage sérieux, vous utiliserez un fournisseur RPC payant ou un indexeur, qui délivre une clé API. Cette clé doit être en lecture seule, à portée restreinte, et ne jamais être committée dans un dépôt.
Un bot de trading construit sur ces API peut-il gagner de l'argent ?
La plupart perdent de l'argent. Les marchés de memecoins sont dominés par des bots plus rapides, l'extraction de MEV, les attaques sandwich et les tokens purement frauduleux. La latence, les frais et le slippage jouent contre vous, et un bug dans du code sans surveillance peut vider un wallet en quelques secondes. Construisez d'abord pour apprendre, et n'automatisez jamais des fonds que vous ne pouvez pas vous permettre de perdre.
Quelle est la différence entre un nœud RPC et un indexeur ?
Un nœud RPC répond à des questions bas niveau sur la chaîne — états des comptes, transactions, logs — mais c'est à vous d'en assembler le sens. Un indexeur ingère ces données brutes et expose des requêtes de plus haut niveau comme « tous les trades de ce token aujourd'hui ». Le RPC est moins cher et plus flexible ; les indexeurs sont plus rapides à exploiter mais coûtent plus cher et ajoutent une dépendance de confiance.
Comment empêcher le vol d'une clé API de trading ?
Stockez les clés dans des variables d'environnement ou un gestionnaire de secrets, jamais dans le code source ni le frontend. Utilisez des clés à moindre privilège, désactivez les retraits sur toute clé de trading, restreignez-la à des adresses IP précises et faites-la tourner régulièrement. Si une clé peut déplacer des fonds et qu'elle fuite, considérez les fonds comme perdus.