La Digital Asset Exchange Alliance sud-coréenne (DAXA) a introduit de nouvelles normes de conformité qui obligent les exchanges membres à invalider immédiatement les clés API soupçonnées de partage irrégulier entre utilisateurs. La mesure vise directement la manipulation de marché via bots automatisés, un phénomène qui représente aujourd’hui environ 30 % du volume crypto domestique selon la Financial Supervisory Service (FSS).
Au programme
- La DAXA exige l’invalidation des clés API suspectes sur Upbit, Bithumb, Coinone, Korbit et Gopax (FSS, mai 2026)
- Le trading automatisé pèse 30 % du volume crypto coréen, certains acteurs manipulant les carnets d’ordres via des credentials partagés
- Les exchanges déploieront un système de liste blanche d’IP et une ré-authentification forcée après détection de comportement suspect
Pourquoi les clés API deviennent un vecteur de manipulation ?
Les clés API permettent à des logiciels de trading d’agir automatiquement sur un compte sans connexion manuelle. Lorsqu’elles sont partagées entre plusieurs utilisateurs, elles peuvent servir à orchestrer des stratégies coordonnées de manipulation. La FSS a documenté des cas où des traders soumettaient et annulaient répétitivement des ordres d’achat importants pour créer une fausse demande, avant de revendre leurs positions lors de la hausse provoquée, technique connue sous le nom de spoofing.
Ce type de comportement est difficile à détecter avec les outils habituels car plusieurs comptes distincts semblent agir de façon indépendante, alors qu’ils partagent une infrastructure commune. Le partage de credentials d’API constitue ainsi un angle mort réglementaire que la DAXA cherche à combler.
Quelles nouvelles obligations pour Upbit, Bithumb et les autres ?
Les 5 principales plateformes membres de la DAXA, soit Upbit, Bithumb, Coinone, Korbit et Gopax, devront appliquer un protocole en 3 niveaux à partir des nouvelles directives.
En cas de détection d’un comportement suspect, l’exchange commence par renforcer la surveillance du compte concerné et émet une alerte à l’utilisateur. Si l’activité persiste, une ré-authentification forcée est exigée. Au stade final, la clé API est purement invalidée.
Les exchanges déploieront par ailleurs des systèmes de liste blanche d’adresses IP : l’accès via API sera restreint aux seules adresses préalablement déclarées par l’utilisateur. Les méthodes techniques précises de détection n’ont pas été rendues publiques par la DAXA, ce qui laisse une certaine latitude aux plateformes dans leur implémentation.
Cette évolution s’inscrit dans un contexte de durcissement réglementaire progressif du secteur crypto coréen. La Corée du Sud avait déjà imposé des coupures d’accès imminentes aux exchanges non conformes et confirmé une taxe crypto de 22 % pour janvier 2027, signalant une volonté régulatoire persistante des autorités de Séoul.
Quel impact sur les traders algorithmiques légitimes ?
L’essor du trading automatisé en Corée du Sud est réel : les plateformes sud-coréennes s’étaient déjà préparées aux nouvelles réglementations de ces dernières années, ce qui suggère une capacité d’adaptation rapide. Mais les nouvelles règles risquent de créer des frictions pour les traders institutionnels ou les asset managers qui utilisent des clés API partagées entre équipes pour des raisons opérationnelles légitimes.
La restriction par liste blanche d’IP est particulièrement contraignante pour ceux qui opèrent depuis plusieurs localisations ou via des services cloud à IP dynamique. Aucune exception n’a été mentionnée pour les usages professionnels, ni de délai de transition officiel communiqué à ce stade.
« La DAXA exige l’invalidation des clés API soupçonnées de partage irrégulier, avec ré-authentification forcée et liste blanche d’IP pour l’ensemble des membres Upbit, Bithumb, Coinone, Korbit et Gopax. »
Par comparaison, des régulateurs européens comme l’AMF ont abordé le trading algorithmique principalement via la directive MiFID II, mais les règles spécifiques aux exchanges crypto restent moins prescriptives dans le cadre MiCA sur ce point précis.
La DAXA ne s’est pas arrêtée aux API : en parallèle, des procédures d’arrestation ont déjà été menées pour d’autres formes de manipulation crypto en Corée du Sud, signe que le régulateur intensifie sa surveillance à plusieurs niveaux simultanément. Coinbase a de son côté introduit des exigences de suivi de transactions dans certaines juridictions, illustrant une tendance mondiale vers plus de traçabilité des flux automatisés.
À retenir
La DAXA encadre désormais le trading automatisé avec des règles d’invalidation de clés API et un système de liste blanche d’IP sur les 5 principaux exchanges coréens. Avec 30 % du volume domestique concerné, l’impact opérationnel sera significatif. À surveiller : les modalités précises de détection que les plateformes communiqueront dans les prochaines semaines.
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash