เกาหลี DAXA บังคับให้ 5 อันดับแพลตฟอร์มเทรดทำลาย API Key สำหรับการแชร์ที่น่าสงสัย และปรับใช้รายการอนุญาต IP (IP allowlist)

สมาคมแลกเปลี่ยนสินทรัพย์ดิจิทัลเกาหลี (DAXA) เปิดตัวมาตรฐานการปฏิบัติตามกฎระเบียบฉบับใหม่เมื่อวันที่ 29 พฤษภาคม โดยกำหนดให้ Upbit, Bithumb, Coinone, Korbit และ Gopax ต้องยกเลิกคีย์ API ที่ต้องสงสัยว่ามีการแชร์อย่างไม่เหมาะสมระหว่างผู้ใช้ DAXA ยืนยันว่าจะมีการนำระบบบัญชีรายการที่อนุญาตของ IP (IP allowlist) มาใช้ แต่ยังไม่ได้เปิดเผยวิธีการตรวจจับการแชร์ API อย่างเฉพาะเจาะจง

มาตรการใหม่ที่ DAXA ยืนยัน: ยกเลิก, การยืนยันตัวตนซ้ำ และ IP allowlist

DAXA ในประกาศฉบับใหม่ยืนยันว่า เมื่อแพลตฟอร์มแลกเปลี่ยนในเครือข่ายตรวจพบพฤติกรรมต้องสงสัยในการแชร์ API จะดำเนินมาตรการแบบเป็นขั้นตอน ได้แก่ เพิ่มการเฝ้าระวัง แจ้งเตือนผู้ใช้ จากนั้นบังคับให้ยืนยันตัวตนซ้ำ และสุดท้ายจะยกเลิกคีย์ API ที่ต้องสงสัยว่ามีการแชร์ดังกล่าว

พร้อมกันนี้ แพลตฟอร์มแลกเปลี่ยนในเครือข่ายจะนำระบบ IP allowlist มาใช้ เพื่อจำกัดการเข้าถึง API ให้เชื่อมต่อได้เฉพาะจากที่อยู่ที่ได้รับการอนุมัติเท่านั้น Binance, Coinbase, OKX และ Kraken ได้รองรับ IP allowlist และการจัดการสิทธิ์ของ API มาก่อนแล้ว ขณะที่กฎใหม่ของ DAXA ถือเป็นการบังคับใช้การควบคุมลักษณะนี้กับการแลกเปลี่ยนในเกาหลี

ภูมิหลังที่ FSS ยืนยันเกี่ยวกับรูปแบบการจัดการตลาดและการใช้ API ในทางที่ผิด

FSS ระบุว่า เทรดเดอร์บางส่วนใช้วิธี “ส่งคำสั่งซื้อขนาดใหญ่แล้วทำการยกเลิกซ้ำ” เพื่อสร้างสัญญาณความต้องการปลอม จากนั้นจึงทำการขายหลังจากราคาถูกดันขึ้น FSS ยืนยันว่าไม่ได้เปิดเผยจำนวนบัญชีที่อยู่ระหว่างการสอบสวนในปัจจุบัน

ในแง่ภูมิหลัง ปี 2022 เหตุการณ์ 3Commas พบว่า มีคีย์ API ราว 100,000 รายการรั่วไหล โดยคีย์ที่เกี่ยวข้องเชื่อมโยงกับบัญชีของ Binance และ KuCoin บริษัทโครงสร้างพื้นฐานด้านคริปโตอย่าง Sodot ยืนยันว่า เหตุการณ์ที่เกี่ยวข้องกับ API จำนวนมากมักถูกจัดประเภทแบบกว้างว่าเป็นการโจมตีแฮกเกอร์ทั่วไป และไม่ได้เปิดเผยอย่างถูกต้องว่าเป็นเหตุการณ์การรั่วไหลของข้อมูลรับรอง (credentials)

คำถามที่พบบ่อย

กฎ API ใหม่ของ DAXA ต้องมีมาตรการเฉพาะอะไรบ้าง และใช้กับแลกเปลี่ยนใด?

ตามที่ DAXA ยืนยัน กฎใหม่กำหนดให้แลกเปลี่ยน 5 แห่ง ได้แก่ Upbit, Bithumb, Coinone, Korbit และ Gopax เมื่อพบการแชร์ API ที่น่าสงสัยให้ดำเนินการ ได้แก่ เพิ่มการเฝ้าระวัง แจ้งเตือนผู้ใช้ บังคับให้ยืนยันตัวตนซ้ำ จากนั้นยกเลิกคีย์ API ที่ต้องสงสัยว่ามีการแชร์ และนำระบบ IP allowlist มาใช้ DAXA ยืนยันว่าไม่ได้เปิดเผยวิธีการตรวจจับอย่างเฉพาะเจาะจง

วิธีการจัดการตลาดที่ FSS ยืนยันคืออะไรโดยเฉพาะ และเป็นการละเมิดประเภทใด?

FSS ยืนยันว่า วิธีการจัดการตลาดที่ถูกระบุรวมถึงการ “ส่งคำสั่งซื้อขนาดใหญ่แล้วทำการยกเลิกซ้ำ” เพื่อสร้างสัญญาณความต้องการปลอม จากนั้นจึงทำการขายหลังจากราคาถูกดันขึ้น ซึ่งเข้าข่ายพฤติกรรมการเสนอราคาเพื่อหลอกลวงในตลาด (Spoofing) FSS ยืนยันว่าไม่ได้เปิดเผยจำนวนบัญชีที่อยู่ระหว่างการสอบสวนอย่างเฉพาะเจาะจง

เหตุการณ์ 3Commas ในปี 2022 มีความเชื่อมโยงกับกฎใหม่ของ DAXA ในครั้งนี้อย่างไร?

เหตุการณ์ 3Commas เกิดขึ้นในปี 2022 โดยมีคีย์ API ราว 100,000 รายการรั่วไหล และคีย์ที่เกี่ยวข้องเชื่อมโยงกับบัญชีของ Binance และ KuCoin กฎใหม่ของ DAXA มุ่งหมายให้การแลกเปลี่ยนดำเนินการตรวจจับและควบคุมพฤติกรรมการแชร์ API ในเชิงการปฏิบัติตามกฎระเบียบอย่างเชิงรุก แทนที่จะรอให้เหตุการณ์การรั่วไหลเกิดขึ้นแล้วค่อยรับมือ