DAXA annonce une norme de prévention du prêt de clés API via une API pour bloquer la manipulation du marché

L’Alliance pour l’Échange d’Actifs Numériques (DAXA) a annoncé, le 28, une nouvelle norme visant à empêcher la location abusive de clés API, destinée à bloquer la manipulation du marché des cryptomonnaies et des pratiques de trading injustes. La mesure a été élaborée en consultation avec le Financial Supervisory Service et les bourses membres afin d’établir un bon ordre de marché et de protéger les actifs des utilisateurs. Des cas récents ont mis en évidence des clés API prêtées ou partagées de manière inappropriée pour faciliter la manipulation du marché, ce qui a conduit DAXA à formaliser des protocoles de prévention.

Fonction de la clé API et contexte des abus

Les clés API sont des identifiants d’authentification qui permettent aux utilisateurs d’accéder aux fonctions des bourses, notamment aux demandes de prix et de soldes, au passage d’ordres, ainsi qu’aux opérations de dépôt/retrait via des programmes auto-développés ou des intégrations logicielles externes. Cependant, des cas ont récemment émergé dans lesquels des individus ont prêté ou partagé leurs clés API avec des tiers, permettant que ces clés soient exploitées pour la manipulation du marché et d’autres activités de trading injustes.

Mesures d’application de la norme

La nouvelle norme définit des actions d’application échelonnées lorsqu’une activité suspecte de prêt de clés API est détectée. Les mesures s’intensifient selon le niveau de risque et incluent : un contrôle renforcé des comptes suspects, des notifications d’avertissement aux utilisateurs, des procédures de réauthentification obligatoires et l’expiration forcée des clés API. Les bourses membres appliqueront ces mesures progressivement en fonction de la gravité des violations détectées.

Améliorations du système de sécurité

Les bourses membres mettent en œuvre des systèmes d’adresses IP en liste blanche dans le cadre de protocoles de sécurité renforcés. Dans ce système, l’accès à la clé API ne sera autorisé qu’à partir d’adresses IP que les utilisateurs auront préenregistrées, ajoutant une couche d’authentification supplémentaire pour empêcher l’accès non autorisé de tiers aux comptes des utilisateurs.

Déclaration officielle

Kim Jae-jin, vice-président exécutif permanent de DAXA, a déclaré que « cette préparation de norme fait partie des efforts continus des entreprises membres pour bloquer fondamentalement le trading injuste ». Il a ajouté que « DAXA et les entreprises membres réagiront avec agilité à diverses nouvelles menaces et exécuteront fortement les mesures nécessaires pour la valeur prioritaire de la protection des utilisateurs ».