- DAXA требует от Upbit, Bithumb, Coinone, Korbit и Gopax аннулировать подозрительные общие API-ключи.
- Автоматизированная торговля составляет 30% объёма корейской криптовалюты, что делает управление API системной проблемой.
- Теперь биржи должны мониторить, предупреждать, повторно проверять и принудительно отключать API-ключи в зависимости от выявленного уровня риска.
Южнокорейский альянс по обмену цифровыми активами (DAXA) установил обязательные стандарты соответствия, требующие от крупнейших криптовалютных бирж страны выявлять и аннулировать API-ключи, подозреваемые в неправильном обмене или предоставлении между пользователями.
Политика, объявленная 28 мая, нацелена на конкретный метод эксплуатации, который использовался для содействия манипуляции ценами и недобросовестной торговой практике на корейских крипторынках. Биржи-члены DAXA, включая Upbit, Bithumb, Coinone, Korbit и Gopax, подчиняются новым стандартам.
Почему это важно
API-ключи — это данные доступа, которые позволяют пользователям и внешним программам взаимодействовать с биржевыми счетами, размещать заказы, проверять балансы и осуществлять выводы без ручного входа. Когда их одалживают или делятся с третьими лицами, они становятся инструментом скоординированной торговли, способной манипулировать ценами, одновременно скрывая, кто на самом деле стоит за сделками.
Служба финансового надзора Кореи заявила, что автоматизированная торговля в настоящее время составляет примерно 30% объёма торговли криптовалютами в стране, что делает управление ключами API системной проблемой целостности рынка, а не крайним случаем.
Что теперь должны делать биржи
В соответствии с новыми стандартами биржи обязаны внедрять многоуровневую систему реагирования, основанную на уровне риска:
- Усиленный мониторинг шаблонов активности ключей API, отмеченных как подозрительные
- Предупреждающие уведомления выпускаются пользователям при обнаружении ненормального поведения при совместном использовании
- Требования к повторной проверке личности , вызванные подозрительной деятельностью
- Принудительное истечение ключа API для подтверждённых случаев неправильного кредитования
- Белый список IP-адресов , позволяющий получить доступ API только с предварительно зарегистрированных адресов
Требование белого списка интеллектуальной собственности особенно важно. Это означает, что даже если API-ключ передается, его нельзя использовать с неавторизованного устройства или места, что создаёт аппаратный барьер для злоупотребления учетными данными.
Контекст
Злоупотребление учетными данными API является постоянной, но недооценённой уязвимостью в инфраструктуре криптоторговли. Специалисты по безопасности отметили, что многие инциденты, связанные с API, в широком смысле классифицируются как обычные взломы, а не как компрометация учетных данных, скрывая истинный масштаб проблемы.
Инцидент с 3Commas в 2022 году выявил примерно 100 000 API-ключей, связанных с аккаунтами Binance и KuCoin, что демонстрирует масштаб возможного ущерба при сбоях с управлением учетными данными. Крупные биржи, включая Binance, Coinbase, OKX и Kraken, уже поддерживают белый список IP и управление разрешениями как опциональные функции. Новые стандарты DAXA движутся к обязательному применению, а не к добровольному принятию.
Исполнительный вице-председатель DAXA Чжэджин Ким изложил политику прямо в терминах. «DAXA и её компании-члены быстро реагируют на новые и возникающие угрозы и примут решительные меры по мере необходимости для поддержания первостепенной ценности защиты пользователей.»
Что это сигнализирует
Корея остаётся одним из самых активных розничных крипторынков в мире. Регуляторные действия DAXA и Службы финансового надзора последовательно устанавливают прецеденты, которые другие юрисдикции тщательно соблюдают. Обязательные стандарты управления ключами API, если их будут приняты более широко, они закроют одну из самых практически уязвимых пробелов в инфраструктуре безопасности криптобирж.
Связано: Samsung Units инвестируют 408 млн долларов в 4% акций Dunamu
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
