Corée du Sud : la DAXA ordonne la révocation des clés API de partage de données suspectes utilisées par les cinq principales bourses, déploiement d’une liste blanche d’adresses IP

L’Association sud-coréenne des plateformes d’échange d’actifs numériques (DAXA) a lancé le 29 mai de nouvelles normes de conformité, exigeant notamment que Upbit, Bithumb, Coinone, Korbit et Gopax révoquent les clés API suspectées d’avoir été partagées de manière inappropriée entre des utilisateurs. La DAXA a confirmé qu’elle déploierait un système de liste blanche IP, mais n’a pas encore divulgué la méthode précise de détection du partage d’API.

Nouvelles mesures confirmées par la DAXA : révocation, nouvelle authentification et liste blanche IP

Dans ses nouvelles règles, la DAXA confirme que, dès qu’une plateforme membre détecte un comportement suspect de partage d’API, elle appliquera des mesures par étapes : renforcer la surveillance, émettre des avertissements aux utilisateurs, puis exiger une nouvelle authentification obligatoire, avant d’annuler finalement les clés API suspectées d’avoir été partagées.

En parallèle, les plateformes membres déploieront un système de liste blanche IP, limitant l’accès aux API aux connexions provenant uniquement des adresses approuvées. Binance, Coinbase, OKX et Kraken prenaient déjà en charge les listes blanches IP et la gestion des droits d’API ; les nouvelles règles de la DAXA visent à imposer ce type de contrôles dans les bourses en Corée.

Contexte historique connu des schémas de manipulation et des abus d’API confirmés par la FSS

La FSS indique que certains traders utilisent la méthode consistant à « soumettre et annuler à répétition des ordres d’achat de gros montants » afin de créer de faux signaux de demande, puis à exécuter des ordres de vente une fois le prix tiré à la hausse. La FSS confirme ne pas avoir divulgué le nombre actuel de comptes faisant l’objet de l’enquête.

S’agissant du contexte historique, lors de l’affaire 3Commas de mars 2022, environ 100 000 clés API ont été divulguées. Les clés concernées étaient associées à des comptes de Binance et de KuCoin. La société d’infrastructure crypto Sodot a confirmé que de nombreux incidents liés aux API sont généralement classés de manière vague comme des attaques informatiques classiques, sans être correctement révélés comme des incidents de fuite de données d’identifiants.

FAQ

Quelles mesures précises les nouvelles règles API de la DAXA exigent-elles, et à quelles bourses s’appliquent-elles ?

D’après la confirmation de la DAXA, les nouvelles règles exigent que les cinq plateformes Upbit, Bithumb, Coinone, Korbit et Gopax, une fois qu’elles détectent un partage d’API suspect, procèdent à : renforcer la surveillance, émettre des avertissements aux utilisateurs, exiger une nouvelle authentification obligatoire, puis annuler en dernier lieu les clés API suspectées d’avoir été partagées, et déployer un système de liste blanche IP. La DAXA confirme qu’elle n’a pas divulgué la méthode de détection précise.

Quelles méthodes concrètes de manipulation de marché la FSS confirme-t-elle, et de quel type d’infraction s’agit-il ?

La FSS confirme que les méthodes de manipulation signalées incluent : soumettre et annuler à répétition des ordres d’achat de gros montants afin de créer de faux signaux de demande, puis exécuter des ordres de vente une fois le prix tiré à la hausse ; il s’agit d’actes relevant de l’établissement de faux cours à visée frauduleuse (Spoofing). La FSS confirme ne pas avoir divulgué le nombre exact de comptes faisant l’objet de l’enquête.

Quel lien le dossier 3Commas de 2022 a-t-il avec la nouvelle réglementation de la DAXA ?

L’affaire 3Commas est survenue en 2022 et environ 100 000 clés API ont été divulguées ; les clés concernées étaient liées à des comptes de Binance et de KuCoin. Les nouvelles règles de la DAXA visent à exiger des bourses une détection et une gestion proactives des comportements de partage d’API d’un point de vue de la conformité, plutôt que d’attendre qu’un incident de divulgation se produise avant d’agir.