- DAXA mengamanatkan Upbit, Bithumb, Coinone, Korbit, dan Gopax untuk membatalkan kunci API bersama yang mencurigakan.
- Perdagangan otomatis menyumbang 30% dari volume kripto Korea, menjadikan tata kelola API sebagai masalah sistemik.
- Bursa sekarang harus memantau, memperingatkan, memverifikasi ulang, dan memaksa kedaluwarsa kunci API berdasarkan tingkat risiko yang terdeteksi.
Aliansi Pertukaran Aset Digital Korea Selatan (DAXA) telah menetapkan standar kepatuhan wajib yang mengharuskan bursa mata uang kripto utama negara itu untuk mendeteksi dan membatalkan kunci API yang dicurigai dibagikan atau dipinjamkan secara tidak benar di antara pengguna.
Kebijakan tersebut, yang diumumkan pada 28 Mei, menargetkan metode eksploitasi khusus yang telah digunakan untuk memfasilitasi manipulasi harga dan praktik perdagangan yang tidak adil di seluruh pasar kripto Korea. Pertukaran anggota DAXA, termasuk Upbit, Bithumb, Coinone, Korbit, dan Gopax, semuanya tunduk pada standar baru.
Mengapa Ini Penting
Kunci API adalah kredensial akses yang memungkinkan pengguna dan program eksternal untuk berinteraksi dengan akun pertukaran, menempatkan pesanan, memeriksa saldo, dan melakukan penarikan tanpa login manual. Ketika dipinjamkan atau dibagikan dengan pihak ketiga, mereka menjadi alat untuk aktivitas perdagangan terkoordinasi yang dapat memanipulasi harga sambil mengaburkan siapa yang sebenarnya berada di balik perdagangan.
Layanan Pengawasan Keuangan Korea mengatakan bahwa perdagangan otomatis saat ini menyumbang sekitar 30% dari volume perdagangan cryptocurrency di negara itu, menjadikan tata kelola kunci API sebagai masalah integritas pasar sistemik daripada kasus tepi.
Apa yang Harus Dilakukan Bursa Sekarang
Di bawah standar baru, bursa diharuskan untuk menerapkan kerangka kerja respons berlapis berdasarkan tingkat risiko:
- Pemantauan yang ditingkatkan terhadap pola aktivitas kunci API yang ditandai sebagai mencurigakan
- Pemberitahuan peringatan diberikan kepada pengguna saat perilaku berbagi yang tidak normal terdeteksi
- Persyaratan verifikasi ulang identitas yang dipicu oleh aktivitas yang mencurigakan
- Kedaluwarsa kunci API paksa untuk kasus pinjaman yang tidak tepat yang dikonfirmasi
- Daftar putih alamat IP yang memungkinkan akses API hanya dari alamat yang telah didaftarkan sebelumnya
Persyaratan daftar putih IP sangat signifikan. Ini berarti meskipun kunci API dibagikan, kunci API tidak dapat digunakan dari perangkat atau lokasi yang tidak sah, menambahkan penghalang tingkat perangkat keras untuk penyalahgunaan kredensial.
Konteks
Penyalahgunaan kredensial API telah menjadi kerentanan yang terus-menerus tetapi kurang dilaporkan di seluruh infrastruktur perdagangan kripto. Peneliti keamanan telah mencatat bahwa banyak insiden terkait API dikategorikan secara luas sebagai peretasan generik daripada secara khusus sebagai kompromi kredensial, menutupi skala sebenarnya dari masalah tersebut.
Insiden 3Commas 2022 mengekspos sekitar 100.000 kunci API yang ditautkan ke akun Binance dan KuCoin, menunjukkan skala kerusakan yang mungkin terjadi ketika manajemen kredensial gagal. Bursa utama, termasuk Binance, Coinbase, OKX, dan Kraken, sudah mendukung daftar putih IP dan manajemen izin sebagai fitur opsional. Standar baru DAXA bergerak menuju penegakan wajib daripada adopsi sukarela.
Wakil Ketua Eksekutif DAXA Jaejin Kim membingkai kebijakan tersebut secara langsung. “DAXA dan perusahaan anggotanya akan merespons dengan cepat ancaman baru dan yang muncul dan akan mengambil langkah-langkah tegas sesuai kebutuhan untuk menjunjung tinggi nilai terpenting dari perlindungan pengguna.”
Apa yang Ia Sinyalkan
Korea tetap menjadi salah satu pasar kripto ritel paling aktif di dunia. Tindakan regulasi dari DAXA dan Layanan Pengawasan Keuangan secara konsisten menetapkan preseden yang diamati oleh yurisdiksi lain dengan cermat. Standar tata kelola kunci API wajib, jika diadopsi secara lebih luas, akan menutup salah satu celah yang paling praktis dapat dieksploitasi dalam infrastruktur keamanan pertukaran kripto.
Terkait: Unit Samsung Menginvestasikan $408 Juta untuk 4% Saham di Dunamu
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
