A Coreia do Sul ordena que a DAXA invalide as chaves de API de compartilhamento suspeitas usadas pelas 5 principais exchanges e implanta uma lista branca de IPs.

A Associação das Bolsas de Ativos Digitais da Coreia (DAXA) lançou, em 29 de maio, um novo padrão de conformidade que exige que a Upbit, Bithumb, Coinone, Korbit e Gopax revoguem as chaves de API supostamente usadas para compartilhar indevidamente acesso entre usuários. A DAXA confirmou que implantará um sistema de lista de permissões de IP, mas ainda não divulgou o método específico de detecção de compartilhamento de API.

Novas medidas confirmadas pela DAXA: revogação, recredenciamento e lista de permissões de IP

Na nova regra, a DAXA confirmou que, assim que uma bolsa membro detectar uma conduta suspeita de compartilhamento de API, serão adotadas medidas em etapas: intensificação do monitoramento, envio de alertas aos usuários, em seguida exigência de recredenciamento obrigatório e, por fim, revogação das chaves de API supostamente compartilhadas.

Ao mesmo tempo, as bolsas membros vão implantar um sistema de lista de permissões de IP, limitando o acesso à API apenas a conexões provenientes de endereços aprovados. A Binance, Coinbase, OKX e Kraken já apoiam listas de permissões de IP e gerenciamento de permissões de API; a nova regra da DAXA é a exigência compulsória desse tipo de controle nas bolsas da Coreia.

Contexto histórico conhecido de manipulação e abuso de API confirmado pela FSS

A FSS apontou que alguns traders usam a estratégia de “enviar e cancelar repetidamente grandes ordens de compra” para criar sinais falsos de demanda e, em seguida, executar ordens de venda depois que o preço é puxado para cima. A FSS confirmou que não divulgou o número atual de contas sob investigação.

Em termos de contexto histórico, no incidente da 3Commas em março de 2022, cerca de 100 mil chaves de API vazaram; as chaves relacionadas estavam associadas às contas da Binance e da KuCoin. A empresa de infraestrutura cripto Sodot confirmou que muitos eventos envolvendo APIs são frequentemente classificados de forma genérica como ataques cibernéticos comuns, sem serem divulgados corretamente como incidentes de vazamento de credenciais.

Perguntas frequentes

Quais medidas específicas as novas regras de API da DAXA exigem e a quais exchanges elas se aplicam?

De acordo com a confirmação da DAXA, a nova regra exige que as cinco bolsas Upbit, Bithumb, Coinone, Korbit e Gopax, após detectar compartilhamento suspeito de API, executem: intensificação do monitoramento, envio de alertas ao usuário, recredenciamento obrigatório e, por fim, revogação das chaves de API supostamente compartilhadas, além de implantar o sistema de lista de permissões de IP. A DAXA confirmou que não divulgou o método específico de detecção.

Quais são, especificamente, as táticas de manipulação de mercado confirmadas pela FSS e a que tipo de violação elas pertencem?

A FSS confirmou que as táticas de manipulação marcadas incluem: enviar e cancelar repetidamente grandes ordens de compra para criar sinais falsos de demanda e, em seguida, executar ordens de venda depois que o preço é puxado para cima; isso se enquadra em condutas de precificação enganosa de mercado (Spoofing). A FSS confirmou que não divulgou a quantidade específica de contas sob investigação.

O incidente da 3Commas de 2022 e a nova regra da DAXA têm alguma relação de contexto?

O incidente da 3Commas ocorreu em 2022, quando cerca de 100 mil chaves de API vazaram, e as chaves relacionadas estavam associadas às contas da Binance e da KuCoin. A nova regra da DAXA tem como objetivo exigir, do ponto de vista de conformidade, que as exchanges detectem e controlem proativamente o compartilhamento de API, em vez de esperar que o vazamento aconteça para então reagir.