Hàn Quốc DAXA buộc 5 sàn giao dịch lớn hủy bỏ các khóa API chia sẻ đáng ngờ, triển khai danh sách trắng IP

Liên minh các sàn giao dịch tài sản số Hàn Quốc (DAXA) vào ngày 29/5 đã ra mắt bộ tiêu chuẩn tuân thủ mới, yêu cầu bao gồm Upbit, Bithumb, Coinone, Korbit và Gopax phải hủy các khóa API bị nghi ngờ đã được chia sẻ không phù hợp giữa người dùng. DAXA xác nhận sẽ triển khai hệ thống danh sách trắng IP, nhưng vẫn chưa tiết lộ phương pháp phát hiện cụ thể đối với việc chia sẻ API.

Các biện pháp mới được DAXA xác nhận: hủy, xác thực lại và danh sách trắng IP

Trong quy định mới, DAXA xác nhận rằng, nếu sàn thành viên phát hiện hành vi chia sẻ API đáng ngờ, họ sẽ áp dụng các biện pháp theo từng giai đoạn: tăng cường giám sát, gửi cảnh báo đến người dùng, sau đó yêu cầu xác thực lại bắt buộc, và cuối cùng sẽ hủy các khóa API bị nghi ngờ chia sẻ.

Đồng thời, các sàn thành viên sẽ triển khai hệ thống danh sách trắng IP, giới hạn việc truy cập API chỉ cho phép các kết nối đến từ những địa chỉ đã được phê duyệt. Binance, Coinbase, OKX và Kraken trước đó đã hỗ trợ danh sách trắng IP và quản lý quyền API, và quy định mới của DAXA là việc bắt buộc triển khai các cơ chế kiểm soát này tại các sàn giao dịch ở Hàn Quốc.

Bối cảnh lịch sử đã biết về thao túng và lạm dụng API được FSS xác nhận

FSS cho biết một số nhà giao dịch sử dụng cách “liên tục gửi và hủy các lệnh mua giá trị lớn” để tạo ra tín hiệu nhu cầu giả, sau đó thực hiện lệnh bán khi giá được đẩy lên. FSS xác nhận chưa tiết lộ số lượng tài khoản hiện đang được điều tra.

Về bối cảnh lịch sử, trong sự cố 3Commas vào tháng 3/2022, khoảng 100 nghìn khóa API bị rò rỉ; các khóa liên quan được gắn với các tài khoản Binance và KuCoin. Công ty hạ tầng mã hóa Sodot xác nhận rằng nhiều sự kiện liên quan đến API thường bị gộp chung là các vụ tấn công mạng phổ biến, và đã không được công bố đúng như các vụ rò rỉ thông tin đăng nhập.

Câu hỏi thường gặp

Quy tắc API mới của DAXA yêu cầu những biện pháp cụ thể nào, áp dụng cho những sàn nào?

Theo xác nhận của DAXA, quy định mới yêu cầu 5 sàn Upbit, Bithumb, Coinone, Korbit và Gopax sau khi phát hiện việc chia sẻ API đáng ngờ phải thực hiện: tăng cường giám sát, gửi cảnh báo cho người dùng, xác thực lại bắt buộc, cuối cùng hủy các khóa API bị nghi ngờ chia sẻ, đồng thời triển khai hệ thống danh sách trắng IP. DAXA xác nhận chưa tiết lộ phương pháp phát hiện cụ thể.

Thủ pháp thao túng thị trường được FSS xác nhận là gì, thuộc loại vi phạm nào?

FSS xác nhận, các thủ pháp thao túng bị gắn cờ bao gồm: liên tục gửi và hủy các lệnh mua giá trị lớn để tạo ra tín hiệu nhu cầu giả, sau đó thực hiện lệnh bán khi giá được đẩy lên; đây là hành vi thuộc nhóm báo giá lừa đảo trên thị trường (Spoofing). FSS xác nhận chưa tiết lộ số lượng tài khoản được điều tra cụ thể.

Sự cố 3Commas năm 2022 có liên hệ bối cảnh nào với quy định mới của DAXA lần này?

Sự cố 3Commas xảy ra vào năm 2022, khoảng 100 nghìn khóa API bị rò rỉ, và các khóa liên quan gắn với các tài khoản Binance và KuCoin. Quy định mới của DAXA nhằm yêu cầu các sàn từ góc độ tuân thủ chủ động phát hiện và kiểm soát hành vi chia sẻ API, thay vì chờ đến khi xảy ra rò rỉ rồi mới ứng phó.