coinedition.com
Южнокорейский альянс по обмену цифровыми активами (DAXA) установил обязательные стандарты соответствия, требующие от крупнейших криптовалютных бирж страны выявлять и аннулировать API-ключи, подозреваемые в неправильном обмене или предоставлении между пользователями.
Политика, объявленная 28 мая, нацелена на конкретный метод эксплуатации, который использовался для содействия манипуляции ценами и недобросовестной торговой практике на корейских крипторынках. Биржи-члены DAXA, включая Upbit, Bithumb, Coinone, Korbit и Gopax, подчиняются новым стандартам.
Почему это важно
API-ключи — это данные доступа, которые позволяют пользователям и внешним программам взаимодействовать с биржевыми счетами, размещать заказы, проверять балансы и осуществлять выводы без ручного входа. Когда их одалживают или делятся с третьими лицами, они становятся инструментом скоординированной торговли, способной манипулировать ценами, одновременно скрывая, кто на самом деле стоит за сделками.
Служба финансового надзора Кореи заявила, что автоматизированная торговля в настоящее время составляет примерно 30% объёма торговли криптовалютами в стране, что делает управление ключами API системной проблемой целостности рынка, а не крайним случаем.
Что теперь должны делать биржи
В соответствии с новыми стандартами биржи обязаны внедрять многоуровневую систему реагирования, основанную на уровне риска:
- Усиленный мониторинг шаблонов активности ключей API, отмеченных как подозрительные
- Предупреждающие уведомления выпускаются пользователям при обнаружении ненормального поведения при совместном использовании
- Требования к повторной проверке личности , вызванные подозрительной деятельностью
- Принудительное истечение ключа API для подтверждённых случаев неправильного кредитования
- Белый список IP-адресов , позволяющий получить доступ API только с предварительно зарегистрированных адресов
Требование белого списка интеллектуальной собственности особенно важно. Это означает, что даже если API-ключ передается, его нельзя использовать с неавторизованного устройства или места, что создаёт аппаратный барьер для злоупотребления учетными данными.
Контекст
Злоупотребление учетными данными API является постоянной, но недооценённой уязвимостью в инфраструктуре криптоторговли. Специалисты по безопасности отметили, что многие инциденты, связанные с API, в широком смысле классифицируются как обычные взломы, а не как компрометация учетных данных, скрывая истинный масштаб проблемы.
Инцидент с 3Commas в 2022 году выявил примерно 100 000 API-ключей, связанных с аккаунтами Binance и KuCoin, что демонстрирует масштаб возможного ущерба при сбоях с управлением учетными данными. Крупные биржи, включая Binance, Coinbase, OKX и Kraken, уже поддерживают белый список IP и управление разрешениями как опциональные функции. Новые стандарты DAXA движутся к обязательному применению, а не к добровольному принятию.
Исполнительный вице-председатель DAXA Чжэджин Ким изложил политику прямо в терминах. «DAXA и её компании-члены быстро реагируют на новые и возникающие угрозы и примут решительные меры по мере необходимости для поддержания первостепенной ценности защиты пользователей.»
Что это сигнализирует
Корея остаётся одним из самых активных розничных крипторынков в мире. Регуляторные действия DAXA и Службы финансового надзора последовательно устанавливают прецеденты, которые другие юрисдикции тщательно соблюдают. Обязательные стандарты управления ключами API, если их будут приняты более широко, они закроют одну из самых практически уязвимых пробелов в инфраструктуре безопасности криптобирж.
Связано: Samsung Units инвестируют 408 млн долларов в 4% акций Dunamu