- DAXA verpflichtet Upbit, Bithumb, Coinone, Korbit und Gopax, verdächtige gemeinsame API-Schlüssel ungültig zu machen.
- Automatisierter Handel macht 30 % des koreanischen Kryptovolumens aus, was die API-Governance zu einem systemischen Problem macht.
- Börsen müssen nun API-Schlüssel überwachen, warnen, erneut verifizieren und auf Grundlage des erkannten Risikolevels zwangsweise ablaufen.
Südkoreas Digital Asset Exchange Alliance (DAXA) hat verbindliche Konformitätsstandards eingeführt, die von den großen Kryptowährungsbörsen des Landes verlangen, API-Schlüssel zu erkennen und ungültig zu erklären, die vermutlich unsachgemäß zwischen Nutzern geteilt oder ausgeliehen werden.
Die am 28. Mai angekündigte Richtlinie richtet sich gegen eine spezielle Auswertungsmethode, die verwendet wurde, um Preismanipulation und unfaire Handelspraktiken auf den koreanischen Kryptomärkten zu erleichtern. DAXA-Mitgliedsbörsen, darunter Upbit, Bithumb, Coinone, Korbit und Gopax, unterliegen alle den neuen Standards.
Warum das wichtig ist
API-Schlüssel sind Zugangsdaten, die es Benutzern und externen Programmen ermöglichen, mit Börsenkonten zu interagieren, Bestellungen aufzugeben, Salden zu prüfen und Abhebungen ohne manuelle Anmeldung durchzuführen. Wenn sie ausgeliehen oder mit Dritten geteilt werden, werden sie zu einem Werkzeug für koordinierte Handelsaktivitäten, die die Preise manipulieren und gleichzeitig verschleieren, wer tatsächlich hinter den Trades steckt.
Der Finanzaufsichtsdienst Koreas erklärte, dass automatisierter Handel derzeit etwa 30 % des Kryptowährungshandelsvolumens im Land ausmacht, wodurch API-Schlüssel-Governance zu einem systemischen Marktintegritätsproblem und nicht zu einem Ausnahmefall wird.
Was Exchanges jetzt tun müssen
Nach den neuen Standards sind die Börsen verpflichtet, ein geschichtetes Reaktionsrahmen basierend auf dem Risikoniveau zu implementieren:
- Verbesserte Überwachung von als verdächtig markierten API-Schlüssel-Aktivitätsmustern
- Warnbenachrichtigungen werden an Nutzer ausgegeben, wenn ein ungewöhnliches Teilen-Verhalten festgestellt wird
- Anforderungen zur erneuten Identitätsverifikation , ausgelöst durch verdächtige Aktivitäten
- Erzwungenes Ablauf des API-Schlüssels bei bestätigten Fällen unsachgemäßer Kreditvergabe
- IP-Adress-Whitelisting , die nur den API-Zugriff von vorregistrierten Adressen erlaubt
Die IP-Whitelist-Anforderung ist besonders bedeutend. Das bedeutet, selbst wenn ein API-Schlüssel geteilt wird, kann er nicht von einem nicht autorisierten Gerät oder Ort aus verwendet werden, was eine hardwarenahe Hürde für den Missbrauch von Zugangsdaten darstellt.
Der Kontext
Der Missbrauch von API-Zugangsdaten ist eine anhaltende, aber unterberichtete Schwachstelle in der gesamten Krypto-Handelsinfrastruktur. Sicherheitsforscher haben festgestellt, dass viele API-bezogene Vorfälle weitgehend als generische Hacks und nicht nur als Credential-Kompromittation klassifiziert werden, wodurch das wahre Ausmaß des Problems verschleiert wird.
Der 3Commas-Vorfall von 2022 legte etwa 100.000 API-Schlüssel offen, die mit Binance- und KuCoin-Konten verknüpft sind, was das Ausmaß des Schadens zeigt, der möglich ist, wenn das Credential-Management scheitert. Große Börsen wie Binance, Coinbase, OKX und Kraken unterstützen bereits IP-Whitelisting und Berechtigungsverwaltung als optionale Funktionen. Die neuen DAXA-Standards bewegen sich in Richtung verpflichtender Durchsetzung statt freiwilliger Einführung.
DAXA-Exekutiv-Vizevorsitzender Jaejin Kim formulierte die Politik in direkten Worten. „DAXA und seine Mitgliedsunternehmen werden schnell auf neue und aufkommende Bedrohungen reagieren und bei Bedarf starke Maßnahmen ergreifen, um den obersten Wert des Nutzerschutzes zu wahren.“
Was es signalisiert
Korea bleibt einer der aktivsten Einzelhandels-Kryptomärkte der Welt. Regulatorische Maßnahmen von DAXA und dem Financial Supervisory Service setzen konsequent Präzedenzfälle, die andere Rechtsordnungen genau befolgen. Verpflichtende API-Schlüssel-Governance-Standards würden, wenn sie breiter angenommen würden, eine der praktisch am besten ausnutzbaren Lücken in der Sicherheitsinfrastruktur für Krypto-Börsen schließen.
Verwandt: Samsung-Einheiten investieren 408 Millionen US-Dollar für 4 % Anteil an Dunamu
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
