DAXA ของเกาหลีใต้เพิ่มความเข้มงวดในการควบคุม API ของตลาดซื้อขายคริปโต

TLDR

• DAXA กำหนดให้การแลกเปลี่ยนสมาชิกต้องยกเลิก API key ที่ต้องสงสัยว่ามีการแชร์ระหว่างผู้ใช้อย่างไม่เหมาะสม
• FSS ของเกาหลีใต้ ระบุว่า การซื้อขายอัตโนมัติคิดเป็นประมาณ 30% ของปริมาณการซื้อขายคริปโตในประเทศ
• Upbit, Bithumb, Coinone, Korbit และ Gopax จะเสริมความแข็งแกร่งให้ระบบตรวจสอบ API
• การแลกเปลี่ยนจะกำหนดให้มีการแจ้งเตือนผู้ใช้ การยืนยันตัวตนใหม่ และการตรวจสอบที่เข้มงวดยิ่งขึ้นหลังจากพบกิจกรรม API ที่น่าสงสัย
• การทำ IP whitelisting จะจำกัดการเข้าถึง API เฉพาะที่อยู่ที่ได้รับอนุมัติและลดการใช้ข้อมูลประจำตัวในทางที่ผิด

กลุ่มการแลกเปลี่ยนคริปโตของเกาหลีใต้ได้ดำเนินการเพื่อเพิ่มความเข้มงวดในการควบคุม API บนแพลตฟอร์มซื้อขายในประเทศ Digital Asset Exchange Alliance ได้นำมาตรฐานการปฏิบัติตามกฎระเบียบใหม่มาใช้สำหรับการแลกเปลี่ยนสมาชิก กฎดังกล่าวมุ่งเป้าไปที่ API key ที่ต้องสงสัยว่ามีการแชร์หรือใช้งานในทางที่ผิด

การเคลื่อนไหวนี้เกิดขึ้นในขณะที่หน่วยงานกำกับดูแลกำลังตรวจสอบกิจกรรมการซื้อขายอัตโนมัติในตลาดคริปโตในประเทศ Financial Supervisory Service ระบุว่า การซื้อขายอัตโนมัติปัจจุบันคิดเป็นประมาณ 30% ของปริมาณการซื้อขายคริปโตในประเทศ

DAXA ดำเนินการต่อต้านการแชร์ API Key

มาตรฐานใหม่ของ DAXA กำหนดให้การแลกเปลี่ยนต้องยกเลิก API key เมื่อตรวจพบการแชร์ที่น่าสงสัย กฎนี้มีผลบังคับใช้กับการแลกเปลี่ยนสมาชิกที่ดำเนินงานในเกาหลีใต้ ซึ่งรวมถึง Upbit, Bithumb, Coinone, Korbit และ Gopax

API key ช่วยให้ระบบซื้อขายสามารถเชื่อมต่อกับบัญชีการแลกเปลี่ยนได้ โดยสามารถรองรับการเข้าถึงข้อมูลตลาดและการดำเนินการซื้อขาย ในบางกรณีอาจอนุญาตให้ฝากหรือถอนเงินได้เช่นกัน

หน่วยงานกำกับดูแลได้แสดงความกังวลเกี่ยวกับข้อมูลประจำตัว API ที่ถูกแชร์หรือถูกบุกรุก key เหล่านี้สามารถนำไปใช้กับหลายบัญชีได้ และอาจช่วยให้ผู้ซื้อขายวางหรือยกเลิกคำสั่งซื้อด้วยความเร็วสูง

FSS ระบุว่า ผู้ซื้อขายบางรายวางคำสั่งซื้อขนาดใหญ่แล้วยกเลิกในภายหลัง ซึ่งอาจสร้างสัญญาณความต้องการที่เป็นเท็จ หน่วยงานกำกับดูแลไม่ได้เปิดเผยจำนวนบัญชีที่อยู่ระหว่างการตรวจสอบ

การแลกเปลี่ยนเพิ่มระบบตรวจสอบและการยืนยันตัวตนใหม่

ภายใต้กฎใหม่ การแลกเปลี่ยนจะเพิ่มการตรวจสอบ API และจะแจ้งเตือนผู้ใช้เมื่อพบกิจกรรม API ที่ผิดปกติ หลังจากนั้น ผู้ใช้อาจต้องดำเนินการยืนยันตัวตนใหม่

กระบวนการนี้มีจุดมุ่งหมายเพื่อยืนยันความเป็นเจ้าของบัญชีและการควบคุมการซื้อขาย นอกจากนี้ยังให้วิธีการแก่การแลกเปลี่ยนในการดำเนินการก่อนที่การละเมิดจะแพร่กระจาย DAXA ยังไม่ได้เปิดเผยวิธีการตรวจจับทั้งหมด

การแลกเปลี่ยนสมาชิกจะใช้ IP whitelisting สำหรับการเข้าถึง API ด้วย ระบบนี้อนุญาตให้เฉพาะที่อยู่อินเทอร์เน็ตที่ได้รับอนุมัติเท่านั้นที่สามารถเชื่อมต่อได้ ส่งผลให้ key ที่ถูกขโมยยากต่อการใช้งานจากสถานที่ที่ไม่รู้จัก

การแลกเปลี่ยนหลักระดับโลกหลายแห่งเสนอเครื่องมือที่คล้ายกันอยู่แล้ว Binance, Coinbase, OKX และ Kraken รองรับ IP whitelisting และการควบคุมสิทธิ์ API กฎของ DAXA เข้าใกล้การบังคับใช้ที่เข้มแข็งขึ้นในกรณีที่คัดเลือก

การละเมิด API ดึงดูดความสนใจในวงกว้าง

ความปลอดภัยของ API กลายเป็นความกังวลในวงกว้างหลังเหตุการณ์ 3Commas ในปี 2022 รายงานระบุว่า API key ประมาณ 100,000 รายการถูกเปิดเผย key เหล่านั้นเชื่อมโยงกับบัญชี Binance และ KuCoin

อดีต CEO ของ Binance Changpeng Zhao ได้เตือนผู้ใช้ในระหว่างเหตุการณ์นั้น โดยกล่าวว่าข้อมูลประจำตัว API ที่ถูกเปิดเผยมีความเสี่ยงที่ชัดเจนสำหรับผู้ใช้การซื้อขายอัตโนมัติ เหตุการณ์ดังกล่าวผลักดันให้ผู้ซื้อขายมากขึ้นตรวจสอบสิทธิ์ API

นักวิจัยด้านความปลอดภัยยังได้เตือนเกี่ยวกับการควบคุม API ที่อ่อนแอ โดยระบุว่าเหตุการณ์ API หลายอย่างถูกรายงานว่าเป็นการแฮ็กการแลกเปลี่ยนในวงกว้าง อย่างไรก็ตาม บางกรณีอาจเกี่ยวข้องกับการบุกรุกข้อมูลประจำตัวแทน

บริษัทโครงสร้างพื้นฐานคริปโต Sodot ได้พูดถึงประเด็นนี้เช่นกัน โดยระบุว่าเหตุการณ์ที่เกี่ยวข้องกับ API มักได้รับการติดป้ายกว้างๆ บริษัทโต้แย้งว่าตลาดต้องการการรายงานที่ชัดเจนยิ่งขึ้นเกี่ยวกับการใช้ข้อมูลประจำตัวในทางที่ผิด

การดำเนินการของ DAXA ทำให้ความปลอดภัยของ API อยู่ศูนย์กลางการกำกับดูแลคริปโตของเกาหลีใต้ กฎดังกล่าวมุ่งเน้นที่การควบคุมบัญชี ระบบอัตโนมัติที่ปลอดภัยยิ่งขึ้น และการตรวจสอบการแลกเปลี่ยนที่เข้มแข็งขึ้น หน่วยงานกำกับดูแลกำลังจับตาดูการซื้อขายอัตโนมัติอย่างใกล้ชิดมากขึ้น

The post South Korea's DAXA Tightens Crypto Exchange API Controls appeared first on CoinCentral.