Korea DAXA memaksa 5 bursa besar membatalkan kunci API berbagi yang diduga mencurigakan, menerapkan daftar putih IP

Asosiasi Bursa Aset Digital Korea (DAXA) pada 29 Mei meluncurkan standar kepatuhan baru yang mewajibkan termasuk Upbit, Bithumb, Coinone, Korbit, dan Gopax untuk membatalkan kunci API yang diduga dibagikan secara tidak semestinya di antara pengguna. DAXA mengonfirmasi akan menerapkan sistem daftar putih IP, namun belum mengungkapkan metode pendeteksian spesifik terkait pembagian API tersebut.

Langkah Baru DAXA: Pembatalan, Rekertifikasi Ulang, dan Daftar Putih IP

Dalam aturan barunya, DAXA menegaskan bahwa jika bursa anggota mendeteksi tindakan pembagian API yang mencurigakan, mereka akan menerapkan langkah bertahap: memperketat pemantauan, mengirim peringatan kepada pengguna, kemudian mewajibkan rekertifikasi ulang secara paksa, dan akhirnya membatalkan kunci API yang diduga dibagikan.

Selain itu, bursa anggota akan menerapkan sistem daftar putih IP untuk membatasi akses API hanya pada koneksi yang berasal dari alamat yang telah mereka setujui. Binance, Coinbase, OKX, dan Kraken sebelumnya telah mendukung manajemen daftar putih IP dan izin API, sementara aturan baru DAXA mewajibkan penerapan kontrol semacam itu di bursa-bursa Korea.

Pola Manipulasi yang Dikonfirmasi FSS dan Latar Belakang Historis Penyalahgunaan API

FSS menyebutkan bahwa sebagian trader menggunakan cara “berulang kali mengirim dan membatalkan order beli berjumlah besar” untuk menciptakan sinyal permintaan palsu, lalu mengeksekusi order jual setelah harga didorong naik. FSS mengonfirmasi belum mengungkap jumlah akun yang sedang diselidiki.

Dari sisi latar belakang historis, pada insiden 3Commas pada Maret 2022 terjadi kebocoran sekitar 100 ribu kunci API, dan kunci-kunci terkait tersebut dikaitkan dengan akun Binance dan KuCoin. Perusahaan infrastruktur kripto Sodot mengonfirmasi bahwa banyak insiden terkait API kerap diklasifikasikan secara umum sebagai serangan peretasan yang bersifat umum, tanpa pengungkapan yang tepat bahwa itu merupakan peristiwa kebocoran kredensial.

FAQ

Aturan API baru DAXA mengharuskan langkah spesifik apa, dan berlaku untuk bursa mana?

Berdasarkan konfirmasi DAXA, aturan baru mewajibkan lima bursa—Upbit, Bithumb, Coinone, Korbit, dan Gopax—setelah mendeteksi pembagian API yang mencurigakan untuk melakukan: memperketat pemantauan, mengirim peringatan kepada pengguna, rekertifikasi ulang secara paksa, dan pada akhirnya membatalkan kunci API yang diduga dibagikan, serta menerapkan sistem daftar putih IP. DAXA mengonfirmasi belum mengungkap metode pendeteksian spesifik.

Metode manipulasi pasar yang dikonfirmasi FSS itu apa secara spesifik, dan termasuk jenis pelanggaran yang mana?

FSS mengonfirmasi bahwa modus manipulasi yang ditandai mencakup: berulang kali mengirim dan membatalkan order beli berjumlah besar untuk membuat sinyal permintaan palsu, lalu mengeksekusi order jual setelah harga didorong naik, yang termasuk tindakan pembohongan penawaran pasar (Spoofing). FSS mengonfirmasi belum mengungkap jumlah spesifik akun yang diselidiki.

Insiden 3Commas pada 2022 dan aturan baru DAXA kali ini punya kaitan latar belakang seperti apa?

Insiden 3Commas terjadi pada 2022, dengan sekitar 100 ribu kunci API bocor, dan kunci-kunci terkait tersebut dikaitkan dengan akun Binance dan KuCoin. Aturan baru DAXA ditujukan untuk, dari sisi kepatuhan, mendorong bursa secara proaktif mendeteksi dan mengendalikan tindakan pembagian API, bukan menunggu setelah insiden kebocoran terjadi baru mengambil langkah.