韓国のDAXAは、5大取引所に対して疑わしい共有APIキーを無効化する強制を行い、デプロイIPのホワイトリストを設定しました

韓国のデジタル資産取引所連盟（DAXA）は5月29日に新しいコンプライアンス基準を導入し、Upbit、Bithumb、Coinone、Korbit、Gopaxを含む各社に対し、ユーザー間で不適切に共有されている疑いのあるAPIキーを無効化することを求めた。DAXAはIPホワイトリストシステムを導入すると確認したが、具体的なAPI共有の検知方法はまだ公表していない。

DAXAが確認した新規措置：無効化、再認証、そしてIPホワイトリスト

DAXAは新規の中で、加盟取引所が可疑なAPI共有行為を検知した場合、段階的な措置を取ると確認した。監視の強化、ユーザーへの警告、続いて強制的な再認証を要求し、最後に共有が疑われるAPIキーを無効化する。

同時に、加盟取引所はIPホワイトリストシステムを導入し、APIアクセスを自社が承認したアドレスからの接続のみに制限する。Binance、Coinbase、OKX、Krakenは以前からIPホワイトリストとAPI権限管理に対応しており、DAXAの新規則は韓国の取引所でこの種の管理を強制するものだ。

FSSが確認した不正操作パターンとAPI悪用の既知の歴史的背景

FSSは、一部のトレーダーが「大口の買い注文を繰り返し提出して取り消す」ことで架空の需要シグナルを作り、その後価格が引き上げられた後に売り注文を実行していると指摘した。FSSは、現在調査中の口座数については明らかにしていない。

歴史的背景として、2022年の3Commas事件では約10万のAPIキーが漏えいしており、関連するキーはBinanceとKuCoinの口座と結び付けられていた。暗号インフラ企業のSodotは、多くのAPI関連事件は一般的に「通用的なハッキング攻撃」としてまとめて分類されることが多く、認証情報の漏えい事件として正しく開示されていないと確認している。

よくある質問

DAXAの新しいAPIルールは、どの具体的な措置が求められ、どの取引所に適用されますか？

DAXAの確認によれば、新規はUpbit、Bithumb、Coinone、Korbit、Gopaxの5社の取引所に対し、可疑なAPI共有を検知した後に次を実施することを求める：監視の強化、ユーザーへの警告、強制的な再認証、最終的に共有が疑われるAPIキーの無効化、そしてIPホワイトリストシステムの導入。DAXAは具体的な検知方法は公表していないと確認している。

FSSが確認した市場操作の手法は具体的に何で、どの種類の違反行為に当たりますか？

FSSは、問題視された市場操作の手法として次を挙げている。すなわち、大口の買い注文を繰り返し提出して取り消すことで架空の需要シグナルを作り、その後価格が引き上げられた後に売り注文を実行するもので、マーケットの欺瞞的な気配提示（Spoofing）に該当する行為だとする。FSSは、調査対象となっている口座の具体的な件数は明らかにしていない。

2022年の3Commas事件と今回のDAXA新規則にはどのような背景上の関連がありますか？

3Commas事件は2022年に発生し、約10万のAPIキーが漏えいした。関連するキーはBinanceおよびKuCoinの口座と結び付けられていた。DAXAの新規は、コンプライアンスの観点から、取引所にAPI共有行為を積極的に検知・管理させることを目的としており、漏えいが起きてから対応するのではなく、事前対応を求めるものだ。