DAXA renforce les règles clés de l'API pour freiner la manipulation du marché de la cryptographie en Corée du Sud

La Digital Asset Exchange Alliance (DAXA) de Corée du Sud a introduit une nouvelle norme de conformité ciblant le partage inapproprié de clés API entre les utilisateurs d'échange cryptographique. Cette politique répond aux préoccupations croissantes concernant la manipulation du marché et les pratiques commerciales déloyales. Les principaux échanges, notamment Upbit et Bithumb, relèvent du nouveau cadre. Les régulateurs notent que le trading automatisé représente désormais environ 30 % du chiffre d’affaires national en matière de cryptographie. DAXA a annoncé la nouvelle politique standard le 28 mai, traitant de l'utilisation abusive des clés API sur les plateformes d'actifs virtuels. Ces clés permettent aux utilisateurs d'effectuer des fonctions critiques telles que la passation de commandes, la vérification du solde et les retraits. L'inquiétude est apparue après des incidents au cours desquels des utilisateurs ont prêté ou partagé des clés API avec des tiers pour effectuer des transactions déloyales. Selon les nouvelles règles, les bourses doivent appliquer des réponses basées sur les risques lorsqu'une activité suspecte de partage d'API est détectée. Ces réponses vont de la surveillance ciblée et des notifications d’avertissement à la réauthentification obligatoire. Dans les cas à risque plus élevé, les échanges forceront l’expiration des clés API compromises. Jaejin Kim, vice-président exécutif de DAXA, a directement évoqué l'urgence des nouvelles mesures. "DAXA et ses sociétés membres réagiront rapidement aux menaces nouvelles et émergentes et prendront les mesures fortes nécessaires pour maintenir la valeur primordiale de la protection des utilisateurs", a déclaré Kim. Les bourses membres de DAXA – Upbit, Bithumb, Coinone, Korbit et Gopax – déploieront également des systèmes de liste blanche IP. Ces systèmes restreignent l'accès à l'API aux adresses IP pré-approuvées enregistrées par le titulaire du compte. Cependant, DAXA n’a pas encore divulgué la méthodologie de détection exacte qu’elle utilisera. Le Service de surveillance financière (FSS) fait pression pour une surveillance plus stricte du trading automatisé de crypto en Corée du Sud. Les régulateurs ont constaté que certains commerçants soumettaient et annulaient à plusieurs reprises des ordres d’achat importants afin de créer de faux signaux de demande, vendant ensuite lorsque les prix augmentaient. Le FSS n'a pas révélé combien de comptes font l'objet d'une enquête. Cette répression s’inscrit dans un contexte plus large d’utilisation abusive des informations d’identification API sur les marchés mondiaux de la cryptographie. En 2022, la plateforme 3Commas était liée à une exposition à grande échelle d'environ 100 000 clés API liées aux comptes Binance et KuCoin. À l’époque, l’ancien PDG de Binance, Changpeng Zhao, avait publiquement mis en garde les utilisateurs, avertissant que les informations d’identification de l’API représentaient « un risque sérieux pour les systèmes de trading automatisés ». Des échanges comme Binance, Coinbase, OKX et Kraken prennent déjà en charge volontairement la liste blanche IP et la gestion des autorisations API. Le cadre du DAXA évolue cependant vers une application obligatoire dans des scénarios spécifiques. Les chercheurs en sécurité avertissent depuis longtemps que l’abus des informations d’identification API reste l’un des risques les moins évoqués dans l’infrastructure de trading crypto. La société d'infrastructure cryptographique Sodot a noté que de nombreux incidents de ce type sont largement qualifiés de piratages génériques plutôt que correctement classés comme des compromissions d'informations d'identification.