- A DAXA determina que Upbit, Bithumb, Coinone, Korit e Gopax invalidem chaves de API compartilhadas suspeitas.
- A negociação automatizada representa 30% do volume cripto coreano, tornando a governança da API um problema sistêmico.
- As exchanges agora devem monitorar, alertar, reverificar e forçar a expiração das chaves de API com base no nível de risco detectado.
A Digital Asset Exchange Alliance (DAXA) da Coreia do Sul estabeleceu padrões obrigatórios de conformidade exigindo que as principais exchanges de criptomoedas do país detectem e invalidem chaves API suspeitas de serem compartilhadas ou emprestadas indevidamente entre usuários.
A política, anunciada em 28 de maio, tem como alvo um método específico de exploração que tem sido usado para facilitar a manipulação de preços e práticas comerciais desleais nos mercados criptográficos coreanos. As bolsas membros da DAXA, incluindo Upbit, Bithumb, Coinone, Korit e Gopax, estão todas sujeitas aos novos padrões.
Por que isso importa
Chaves de API são credenciais de acesso que permitem que usuários e programas externos interajam com contas de exchange, efetuem ordens, chequem saldos e executem saques sem login manual. Quando emprestados ou compartilhados com terceiros, eles se tornam uma ferramenta de atividade de negociação coordenada que pode manipular os preços enquanto oculta quem está realmente por trás das operações.
O Serviço de Supervisão Financeira da Coreia afirmou que a negociação automatizada atualmente representa aproximadamente 30% do volume de negociação de criptomoedas no país, tornando a governança de chaves API uma questão sistêmica de integridade do mercado, e não um caso extremo.
O que as trocas devem fazer agora
Sob os novos padrões, as bolsas são obrigadas a implementar uma estrutura de resposta em camadas baseada no nível de risco:
- Monitoramento aprimorado dos padrões de atividade de chaves API sinalizados como suspeitos
- Notificações de aviso são emitidas aos usuários quando um comportamento de compartilhamento anormal é detectado
- Requisitos de reverificação de identidade acionados por atividade suspeita
- Expiração forçada da chave API para casos confirmados de empréstimos inadequados
- Lista branca de endereços IP permitindo acesso à API apenas a partir de endereços pré-registrados
A exigência de lista branca de IP é particularmente significativa. Isso significa que, mesmo que uma chave API seja compartilhada, ela não pode ser usada a partir de um dispositivo ou local não autorizado, criando uma barreira em nível de hardware para abuso de credenciais.
O Contexto
O abuso de credenciais de API tem sido uma vulnerabilidade persistente, mas pouco reportada, em toda a infraestrutura de negociação de criptomoedas. Pesquisadores de segurança observaram que muitos incidentes relacionados a APIs são categorizados de forma geral como ataques genéricos, em vez de especificamente como comprometimento de credenciais, mascarando a verdadeira dimensão do problema.
O incidente do 3Commas em 2022 expôs aproximadamente 100.000 chaves API vinculadas a contas da Binance e KuCoin, demonstrando a escala dos danos possíveis quando o gerenciamento de credenciais falha. Grandes exchanges, incluindo Binance, Coinbase, OKX e Kraken, já suportam listas brancas de IP e gerenciamento de permissões como recursos opcionais. Os novos padrões da DAXA tendem para a aplicação obrigatória, em vez da adoção voluntária.
O vice-presidente executivo da DAXA, Jaejin Kim, formulou a política em termos diretos. “A DAXA e suas empresas associadas responderão rapidamente a novas e emergentes ameaças e tomarão medidas firmes conforme necessário para manter o valor supremo da proteção do usuário.”
O que ela sinaliza
A Coreia continua sendo um dos mercados de criptomoedas de varejo mais ativos do mundo. Ações regulatórias da DAXA e do Serviço de Supervisão Financeira estabelecem consistentemente precedentes que outras jurisdições observam de perto. Padrões obrigatórios de governança de chaves de API, se adotados de forma mais ampla, fechariam uma das lacunas mais exploráveis na infraestrutura de segurança das exchanges cripto.
Relacionado: Unidades Samsung investem 408 milhões de dólares por 4% de participação na Dunamu
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
