Le DAXA sud-coréen renforce les contrôles des API des échanges de Cryptos

TLDR

• DAXA exige des exchanges membres d'invalider les clés API suspectées d'être partagées de manière inappropriée entre les utilisateurs.
• La FSS de Corée du Sud indique que le trading automatisé représente environ 30 % du volume de crypto-monnaies national.
• Upbit, Bithumb, Coinone, Korbit et Gopax renforceront leurs systèmes de surveillance des API.
• Les exchanges exigeront des avertissements aux utilisateurs, une nouvelle authentification et des vérifications plus strictes après toute activité API suspecte.
• La liste blanche d'adresses IP limitera l'accès aux API aux adresses approuvées et réduira l'utilisation abusive des identifiants.

Le groupe d'exchanges de crypto-monnaies de Corée du Sud a pris des mesures pour renforcer les contrôles des API sur les plateformes de trading locales. Le Digital Asset Exchange Alliance a introduit une nouvelle norme de conformité pour les exchanges membres. Cette règle cible les clés API suspectées d'être partagées ou utilisées de manière inappropriée.

Cette initiative intervient alors que les régulateurs examinent l'activité de trading automatisé sur le marché crypto local. La Financial Supervisory Service a indiqué que le trading automatisé représente désormais environ 30 % du volume de crypto-monnaies national.

DAXA agit contre le partage des clés API

La nouvelle norme de DAXA exige des exchanges d'invalider les clés API lorsqu'un partage suspect est détecté. Cette règle s'applique aux exchanges membres opérant en Corée du Sud, notamment Upbit, Bithumb, Coinone, Korbit et Gopax.

Les clés API permettent aux systèmes de trading de se connecter aux comptes des exchanges. Elles peuvent prendre en charge l'accès aux données de marché et l'exécution des transactions. Dans certains cas, elles peuvent également autoriser les dépôts ou les retraits.

Les régulateurs ont exprimé des inquiétudes concernant les identifiants API partagés ou compromis. Ces clés peuvent être utilisées sur plusieurs comptes. Elles peuvent également aider les traders à passer ou annuler des ordres à grande vitesse.

La FSS a indiqué que certains traders passaient d'importants ordres d'achat avant de les annuler ultérieurement. Elle a précisé que cela pouvait créer de faux signaux de demande. Le régulateur n'a pas divulgué le nombre de comptes faisant l'objet d'un examen.

Les exchanges renforcent la surveillance et la nouvelle authentification

En vertu des nouvelles règles, les exchanges renforceront la surveillance des API. Ils avertiront également les utilisateurs en cas d'activité API inhabituelle. Les utilisateurs devront ensuite effectuer une nouvelle authentification.

Ce processus vise à confirmer la propriété du compte et le contrôle des transactions. Il donne également aux exchanges les moyens d'agir avant que les abus ne se propagent. DAXA n'a pas publié sa méthode de détection complète.

Les exchanges membres utiliseront également la liste blanche d'adresses IP pour l'accès aux API. Ce système n'autorise que les adresses internet approuvées à se connecter. Par conséquent, les clés volées deviennent plus difficiles à utiliser depuis des emplacements inconnus.

Plusieurs grands exchanges mondiaux proposent déjà des outils similaires. Binance, Coinbase, OKX et Kraken prennent en charge la liste blanche d'adresses IP et les contrôles des permissions des API. La règle de DAXA se rapproche d'une application plus stricte dans certains cas.

L'utilisation abusive des API attire une attention croissante

La sécurité des API est devenue une préoccupation plus large après l'incident 3Commas en 2022. Des rapports ont indiqué qu'environ 100 000 clés API ont été exposées. Ces clés étaient liées à des comptes Binance et KuCoin.

L'ancien PDG de Binance, Changpeng Zhao, avait mis en garde les utilisateurs lors de cet incident. Il avait déclaré que les identifiants API exposés présentaient des risques évidents pour les utilisateurs de trading automatisé. Cet événement a incité davantage de traders à vérifier leurs permissions API.

Des chercheurs en sécurité ont également mis en garde contre la faiblesse des contrôles des API. Ils affirment que de nombreux incidents liés aux API sont signalés comme des piratages d'exchanges à grande échelle. Cependant, certains cas peuvent plutôt impliquer une compromission des identifiants.

La société d'infrastructure crypto Sodot a également abordé cette question. Elle a indiqué que les incidents liés aux API reçoivent souvent des étiquettes générales. La société a soutenu que les marchés ont besoin de rapports plus clairs sur l'utilisation abusive des identifiants.

L'action de DAXA place la sécurité des API au cœur de la surveillance des crypto-monnaies en Corée du Sud. Les règles se concentrent sur le contrôle des comptes, une automatisation plus sûre et des vérifications plus strictes des exchanges. Les régulateurs surveillent désormais le trading automatisé de plus près.

The post South Korea's DAXA Tightens Crypto Exchange API Controls appeared first on CoinCentral.