Le DAXA sud-coréen oblige les plateformes d’échange crypto à invalider les clés API suspectes

• DAXA oblige Upbit, Bithumb, Coinone, Kerit et Gopax à invalider les clés API partagées suspectes.
• Le trading automatisé représente 30 % du volume crypto coréen, faisant de la gouvernance des API un problème systémique.
• Les plateformes doivent désormais surveiller, avertir, revérifier et forcer l’expiration des clés API en fonction du niveau de risque détecté.

La Digital Asset Exchange Alliance (DAXA) de Corée du Sud a établi des normes de conformité obligatoires exigeant que les principales plateformes d’échange de cryptomonnaies du pays détectent et invalident les clés API soupçonnées d’avoir été partagées ou prêtées de manière inappropriée entre les utilisateurs.

La politique, annoncée le 28 mai, vise une méthode d’exploitation spécifique qui a été utilisée pour faciliter la manipulation des prix et des pratiques commerciales déloyales sur les marchés cryptographiques coréens. Les plateformes membres de DAXA, y compris Upbit, Bithumb, Coinone, Korit et Gopax, sont toutes soumises aux nouvelles normes.

Pourquoi cela est important

Les clés API sont des identifiants d’accès qui permettent aux utilisateurs et aux programmes externes d’interagir avec les comptes d’échange, de passer des ordres, de vérifier les soldes et d’exécuter des retraits sans connexion manuelle. Lorsqu’elles sont prêtées ou partagées avec des tiers, elles deviennent un outil d’activité de trading coordonnée capable de manipuler les prix tout en masquant qui est réellement derrière les transactions.

Le Service de supervision financière de Corée a déclaré que le trading automatisé représente actuellement environ 30 % du volume de transactions de cryptomonnaies dans le pays, faisant de la gouvernance des clés API un problème systémique d’intégrité du marché plutôt qu’un cas particulier.

Ce que les échanges doivent maintenant faire

Selon les nouvelles normes, les plateformes doivent mettre en place un cadre de réponse en couches basé sur le niveau de risque :

• Surveillance renforcée des schémas d’activité des clés API signalés comme suspects
• Des notifications d’avertissement sont envoyées aux utilisateurs lorsqu’un comportement de partage anormal est détecté
• Exigences de re-vérification d’identité déclenchées par une activité suspecte
• Expiration forcée de la clé API pour les cas confirmés de prêt inapproprié
• Liste blanche d’adresses IP permettant l’accès à l’API uniquement depuis des adresses préenregistrées

L’exigence de liste blanche de propriété intellectuelle est particulièrement importante. Cela signifie que même si une clé API est partagée, elle ne peut pas être utilisée depuis un appareil ou un lieu non autorisé, ajoutant ainsi une barrière matérielle à l’abus des identifiants.

Le contexte

L’abus des identifiants API est une vulnérabilité persistante mais sous-déclarée dans l’infrastructure de trading crypto. Les chercheurs en sécurité ont noté que de nombreux incidents liés aux API sont classés de manière générale comme des piratages génériques plutôt que comme des compromis spécifiques, masquant ainsi la véritable ampleur du problème.

L’incident de 3Commas en 2022 a révélé environ 100 000 clés API liées aux comptes Binance et KuCoin, démontrant l’ampleur des dommages possibles lorsque la gestion des identifiants échoue. Les principales plates d’échange, dont Binance, Coinbase, OKX et Kraken, prennent déjà en charge la liste blanche des IP et la gestion des permissions comme fonctionnalités optionnelles. Les nouvelles normes de DAXA s’orientent vers l’application obligatoire plutôt que vers l’adoption volontaire.

Le vice-président exécutif de DAXA, Jaejin Kim, a formulé la politique en termes directs. « DAXA et ses entreprises membres réagiront rapidement aux menaces nouvelles et émergentes et prendront des mesures fermes si nécessaire pour préserver la valeur primordiale de la protection des utilisateurs. »

Ce que cela signale

La Corée reste l’un des marchés de cryptomonnaies de détail les plus actifs au monde. Les actions réglementaires de DAXA et du Financial Supervisory Service établissent systématiquement des précédents que d’autres juridictions respectent de près. Des normes obligatoires de gouvernance des clés API, si elles étaient adoptées plus largement, combleraient l’une des lacunes les plus exploitables pratiquement dans l’infrastructure de sécurité des plateformes d’échange cryptographique.

En lien : Samsung Units investissent 408 millions de dollars pour une participation de 4 % dans Dunamu