- DAXA obliga a Upbit, Bithumb, Coinone, Korit y Gopax a invalidar claves API compartidas sospechosas.
- El trading automatizado representa el 30% del volumen cripto coreano, lo que convierte la gobernanza de las APIs en un problema sistémico.
- Los exchanges deben ahora monitorizar, advertir, volver a verificar y forzar la expiración de claves API según el nivel de riesgo detectado.
La Alianza de Intercambio de Activos Digitales (DAXA) de Corea del Sur ha establecido estándares obligatorios de cumplimiento que exigen a los principales intercambios de criptomonedas del país detectar e invalidar claves API sospechosas de ser compartidas o prestadas indebidamente entre usuarios.
La política, anunciada el 28 de mayo, apunta a un método específico de explotación que se ha utilizado para facilitar la manipulación de precios y prácticas comerciales desleales en los mercados cripto coreanos. Los exchanges miembros de DAXA, incluyendo Upbit, Bithumb, Coinone, Korit y Gopax, están todos sujetos a los nuevos estándares.
Por qué esto importa
Las claves API son credenciales de acceso que permiten a usuarios y programas externos interactuar con cuentas de intercambio, realizar órdenes, comprobar saldos y ejecutar retiradas sin iniciar sesión manualmente. Cuando se prestan o comparten con terceros, se convierten en una herramienta de actividad de trading coordinada que puede manipular los precios mientras oculta quién está realmente detrás de las operaciones.
El Servicio de Supervisión Financiera de Corea afirmó que el trading automatizado representa actualmente aproximadamente el 30% del volumen de trading de criptomonedas en el país, lo que convierte la gobernanza de claves API en un problema sistémico de integridad del mercado en lugar de un caso límite.
Lo que los intercambios deben hacer ahora
Según los nuevos estándares, los intercambios deben implementar un marco de respuesta en capas basado en el nivel de riesgo:
- Monitorización mejorada de los patrones de actividad de claves API señalados como sospechosos
- Se emiten notificaciones de advertencia a los usuarios cuando se detecta un comportamiento anormal de compartir
- Requisitos de re-verificación de identidad activados por actividades sospechosas
- Expiración forzada de clave API para casos confirmados de préstamos inadecuados
- Lista blanca de direcciones IP que permite acceso a API solo desde direcciones preregistradas
El requisito de lista blanca de IP es especialmente significativo. Esto significa que, incluso si se comparte una clave API, no puede usarse desde un dispositivo o ubicación no autorizada, añadiendo una barrera a nivel de hardware contra el abuso de credenciales.
El contexto
El abuso de credenciales de API ha sido una vulnerabilidad persistente pero poco reportada en toda la infraestructura de trading de criptomonedas. Investigadores de seguridad han observado que muchos incidentes relacionados con APIs se clasifican en términos generales como hackeos genéricos en lugar de comprometer específicamente credenciales, ocultando la verdadera magnitud del problema.
El incidente de 3Commas de 2022 expuso aproximadamente 100.000 claves API vinculadas a cuentas de Binance y KuCoin, demostrando la magnitud del daño posible cuando la gestión de credenciales falla. Las principales plataformas, incluyendo Binance, Coinbase, OKX y Kraken, ya soportan la inclusión en listas blancas de IPs y la gestión de permisos como funciones opcionales. Los nuevos estándares de DAXA avanzan hacia la aplicación obligatoria en lugar de la adopción voluntaria.
El vicepresidente ejecutivo de DAXA, Jaejin Kim, formuló la política en términos directos. «DAXA y sus empresas miembros responderán rápidamente a nuevas y emergentes amenazas y tomarán medidas firmes según sea necesario para mantener el valor supremo de la protección del usuario.»
Lo que señala
Corea sigue siendo uno de los mercados minoristas de criptomonedas más activos del mundo. Las acciones regulatorias de DAXA y el Servicio de Supervisión Financiera establecen de forma constante precedentes que otras jurisdicciones observan de cerca. Los estándares obligatorios de gobernanza de claves API, si se adoptan de forma más amplia, cerrarían una de las brechas más explotables en la infraestructura de seguridad de los exchanges cripto.
Relacionado: Las unidades Samsung invierten 408 millones de dólares por un 4% de participación en Dunamu
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
