A DAXA da Coreia do Sul força as cinco maiores bolsas a revogar chaves API suspeitas para partilha e aplica uma lista de endereços IP autorizados na implementação

A Korea Digital Asset eXchange Association (DAXA) lançou, a 29 de maio, novas normas de conformidade que exigem que, incluindo a Upbit, Bithumb, Coinone, Korbit e Gopax, revoguem as chaves de API suspeitas de serem partilhadas de forma indevida entre utilizadores. A DAXA confirmou que vai implementar um sistema de lista de permissões de IP, mas ainda não divulgou métodos concretos para detetar partilhas de API.

Novas medidas confirmadas pela DAXA: revogação, revalidação e lista de permissões de IP

A DAXA confirmou, na nova regulamentação, que, assim que as bolsas associadas detetarem um comportamento suspeito de partilha de API, aplicarão medidas por fases: reforçar a monitorização, emitir avisos aos utilizadores e, em seguida, exigir uma revalidação obrigatória, acabando por revogar as chaves de API alegadamente partilhadas.

Em simultâneo, as bolsas associadas vão implementar um sistema de lista de permissões de IP para restringir o acesso à API apenas a ligações provenientes de endereços aprovados por si. A Binance, a Coinbase, a OKX e a Kraken já tinham suportado a lista de permissões de IP e a gestão de permissões de API, e a nova norma da DAXA é a imposição obrigatória, na Coreia, deste tipo de controlos nas bolsas.

Contexto histórico conhecido de padrões de manipulação e abuso de API confirmados pela FSS

A FSS indicou que alguns traders utilizam um método de “submeter e cancelar repetidamente ordens de compra de grande valor” para criar sinais falsos de procura; depois, quando o preço é puxado para cima, executam ordens de venda. A FSS confirmou que não foi divulgado o número de contas atualmente sob investigação.

Quanto ao contexto histórico, no incidente 3Commas de março de 2022 terá havido cerca de 100 mil chaves de API comprometidas, cujas chaves estavam associadas às contas da Binance e da KuCoin. A empresa de infraestruturas cripto Sodot confirmou que muitos incidentes relacionados com API são normalmente classificados genericamente como ataques informáticos comuns e não são devidamente divulgados como casos de fuga de credenciais.

Perguntas frequentes

Que medidas específicas exigem as novas regras de API da DAXA e a que bolsas se aplicam?

De acordo com a confirmação da DAXA, as novas regras exigem que as cinco bolsas — Upbit, Bithumb, Coinone, Korbit e Gopax —, após detetar partilhas de API suspeitas, executem: reforçar a monitorização, emitir avisos aos utilizadores, efetuar revalidação obrigatória, revogar, por fim, as chaves de API alegadamente partilhadas e implementar um sistema de lista de permissões de IP. A DAXA confirmou que não divulgou métodos concretos de deteção.

Que método específico de manipulação de mercado foi confirmado pela FSS e a que tipo de infração se enquadra?

A FSS confirmou que as técnicas de manipulação assinaladas incluem: submeter e cancelar repetidamente ordens de compra de grande valor para criar sinais falsos de procura e, em seguida, executar ordens de venda após o preço ser elevado, o que constitui um tipo de prática de cotações enganosas no mercado (Spoofing). A FSS confirmou que não divulgou o número concreto de contas sob investigação.

Que relação de contexto existe entre o incidente 3Commas de 2022 e esta nova norma da DAXA?

O incidente 3Commas ocorreu em 2022, com cerca de 100 mil chaves de API comprometidas, e as chaves relacionadas estavam associadas às contas da Binance e da KuCoin. A nova norma da DAXA tem como objetivo, a nível de conformidade, exigir que as bolsas detetem e controlem ativamente o comportamento de partilha de API, em vez de esperar por um incidente de fuga para só então atuar.