DAXA в Южной Корее заставляет криптобиржи аннулировать подозрительные API-ключи

Южнокорейский альянс по обмену цифровыми активами (DAXA) установил обязательные стандарты соответствия, требующие от крупнейших криптовалютных бирж страны выявлять и аннулировать API-ключи, подозреваемые в неправильном обмене или предоставлении между пользователями.

Политика, объявленная 28 мая, нацелена на конкретный метод эксплуатации, который использовался для содействия манипуляции ценами и недобросовестной торговой практике на корейских крипторынках. Биржи-члены DAXA, включая Upbit, Bithumb, Coinone, Korbit и Gopax, подчиняются новым стандартам.

Почему это важно

API-ключи — это данные доступа, которые позволяют пользователям и внешним программам взаимодействовать с биржевыми счетами, размещать заказы, проверять балансы и осуществлять выводы без ручного входа. Когда их одалживают или делятся с третьими лицами, они становятся инструментом скоординированной торговли, способной манипулировать ценами, одновременно скрывая, кто на самом деле стоит за сделками.

Служба финансового надзора Кореи заявила, что автоматизированная торговля в настоящее время составляет примерно 30% объёма торговли криптовалютами в стране, что делает управление ключами API системной проблемой целостности рынка, а не крайним случаем.

Что теперь должны делать биржи

В соответствии с новыми стандартами биржи обязаны внедрять многоуровневую систему реагирования, основанную на уровне риска:

• Усиленный мониторинг шаблонов активности ключей API, отмеченных как подозрительные
• Предупреждающие уведомления выпускаются пользователям при обнаружении ненормального поведения при совместном использовании
• Требования к повторной проверке личности , вызванные подозрительной деятельностью
• Принудительное истечение ключа API для подтверждённых случаев неправильного кредитования
• Белый список IP-адресов , позволяющий получить доступ API только с предварительно зарегистрированных адресов

Требование белого списка интеллектуальной собственности особенно важно. Это означает, что даже если API-ключ передается, его нельзя использовать с неавторизованного устройства или места, что создаёт аппаратный барьер для злоупотребления учетными данными.

Контекст

Злоупотребление учетными данными API является постоянной, но недооценённой уязвимостью в инфраструктуре криптоторговли. Специалисты по безопасности отметили, что многие инциденты, связанные с API, в широком смысле классифицируются как обычные взломы, а не как компрометация учетных данных, скрывая истинный масштаб проблемы.

Инцидент с 3Commas в 2022 году выявил примерно 100 000 API-ключей, связанных с аккаунтами Binance и KuCoin, что демонстрирует масштаб возможного ущерба при сбоях с управлением учетными данными. Крупные биржи, включая Binance, Coinbase, OKX и Kraken, уже поддерживают белый список IP и управление разрешениями как опциональные функции. Новые стандарты DAXA движутся к обязательному применению, а не к добровольному принятию.

Исполнительный вице-председатель DAXA Чжэджин Ким изложил политику прямо в терминах. «DAXA и её компании-члены быстро реагируют на новые и возникающие угрозы и примут решительные меры по мере необходимости для поддержания первостепенной ценности защиты пользователей.»

Что это сигнализирует

Корея остаётся одним из самых активных розничных крипторынков в мире. Регуляторные действия DAXA и Службы финансового надзора последовательно устанавливают прецеденты, которые другие юрисдикции тщательно соблюдают. Обязательные стандарты управления ключами API, если их будут приняты более широко, они закроют одну из самых практически уязвимых пробелов в инфраструктуре безопасности криптобирж.

Связано: Samsung Units инвестируют 408 млн долларов в 4% акций Dunamu

Источник