最近,加密貨幣開源量化交易庫CCXT被曝出其核心代碼中硬編碼了返佣ID,悄然將用戶的手續費返佣收入囊中。這一事件揭示了“免費”表像下的隱秘商業模式,引發開發者和交易團隊對信任的深思。
CCXT自2016年推出以來,迅速成為量化交易和策略交易團隊的熱門工具,支持超過100家交易所。通過CCXT,用戶便於進行市場分析、算法交易等多種功能。然而,其預置的默認返佣機制,可能導致用戶在未修改相關選項時,手續費被自動歸於CCXT的賬戶。曝光後,CCXT並未對其代碼進行修改,顯示出其對問題的漠視。
事件提醒所有用戶需對“免費午餐”保持警惕,仔細審視開源項目中的隱性成本。信任不應被輕易編碼成利潤,各方在此領域中需更加謹慎,以保障自身權益。
有時,最昂貴的成本,恰恰隱藏在「免費」的表象之下。
撰文:Frank,PANews
近期,加密貨幣領域最負盛名的開源量化交易庫CCXT 被爆出其核心代碼中暗藏玄機:通過硬編碼預設返佣ID,該軟件在用戶不知情的情況下,悄然將本應屬於用戶的交易所手續費返佣收入囊中。
這一爆料猶如投石入湖,不僅揭示了開源光環下的另一種隱秘商業模式,更讓無數依賴其「免費」便利的開發者、交易團隊驚覺,信任的基石下,可能早已埋下了昂貴的代價。
Github 上超3.6 萬星標,最普及的加密貨幣開源代碼
CCXT (CryptoCurrency eXchange Trading Library) 是一個在加密貨幣交易領域廣受歡迎的開源軟件庫,其核心功能是為開發者、交易者和金融分析師提供一個統一的接口,用以連接並操作全球範圍內的眾多加密貨幣交易所。 CCXT 項目由俄羅斯開發者Igor Kroitor 發起,最早可以追溯到2016 年,該庫支持多種編程語言,包括JavaScript、Python、PHP、C# 和Go,極大地拓寬了其在不同開發環境中的適用性與採納度。
通過部署CCXT 開源工具,用戶可以進行市場分析、指標開發、算法交易、策略回測及下單等多種與加密貨幣交易相關的功能開發,可以說CCXT 相當於一個簡化版且免費的Tradingview。截至目前,CCXT 支持的加密貨幣交易所超過100 家,包括幣安、OKX、Coinbase、Bybit、Bitget 等幾乎所有主流交易所都能通過直接接入的方式通過CCXT 滿足交易需求。
這種便捷的開源方式也讓CCXT 迅速成為量化交易、策略交易等專業交易團隊最普及的工具。在Github 上,CCXT 擁有超過3.6 萬個星標,比金融領域的知名開源項目QuantLib 還要多。據安全公司JFrog 2025 年報告,CCXT 在Python 官方包管理器PyPI 上的累計下載量已超過9300 萬次如此龐大的下載次數反映出全球範圍內有成千上萬的量化交易者和開發團隊在使用CCXT。 2024 年CCXT 在Github 上排名第28,併入選了2024 年最流行的Python 項目。
隱秘的抽佣機制,硬編碼Broker ID,或得千萬美元隱形收益
但在廣受好評的背後,CCXT 卻有著不為人知的生意經。
5 月27 日,@sunlc_crypto 博主在社交媒體曝光稱,自己使用CCXT 框架發現返佣的手續費有較大的異常,隨後在CCXT 的多個交易所的源代碼中發現,CCXT 在其中加上了自己的broker id,也就是預設了這些交易所的返佣賬戶,導致用戶如果不知曉,不修改的情況下會被抽走大部分的返佣手續費。 CCXT 稱自己在hyperliquid、Kucoin、Bybit 等三個交易所兩個月就被偷走約1.5 萬美元。以此預估,CCXT 通過這種方式可能已經獲利超過千萬甚至上億美元的返佣。
PANews 通過查看CCXT 的開源代碼發現,在OKX、KuCoin、Hyperliquid、Bitget、Binance 等多個交易所的Python 適配器的確包含了默認的brokerId。
總的來看CCXT 的確在多個主流交易所的適配器中預置了默認的brokerId 參數,這些參數大多數以硬編碼的形式存在。當用戶直接使用CCXT 下單且未明確設置或修改相關的選項是,這些默認的broker Id 就會隨著請求一同被發送,將潛在的手續費返佣歸於CCXT 提供的賬戶。但在CCXT 的官方說明當中,並未突出說明這一點。
通過這種方式CCXT 團隊具體獲得了多少收益目前仍不得而知,畢竟多數是中心化交易所。 PANews 試圖從Hyperliquid 的源代碼中找到返佣地址,但因其具體的地址未編寫在代碼明文當中,而是採用內部接口的方式,因而也沒法找到最直接的證明。
從「收費」到「免費」,從「可選推薦」到「隱藏硬編」的生意經
翻看CCXT 的開發歷史,PANews 發現這種操作可能最早起源於2018 年。早期的CCXT 有這一個Pro 版的訂閱服務,每月29 美元起。後來CCXT 徹底轉為免費,2018 年,一位用戶在Github 上提出,建議添加可選的推薦ID 來支持CCXT,主要的維護者kroitor 對此表示歡迎,並在更新中添加了這些代碼。不過從倡議者的建議來看,這個建議主要是針對推薦註冊的獎勵,並且提供一個可選的選項,用戶可以選擇填寫CCXT 或者不填寫。
但這似乎成為啟發CCXT 獲利的起點,後期顯然主要的維護者將多數的主流交易所代碼當中目前都添加了這種邏輯,加上編寫方式隱秘,多數用戶很難發現。截至目前,除了@sunlc_crypto 作為吹哨人提出質疑之外,網絡上幾乎沒有關於這項代碼設計的討論。
當然,CCXT 似乎也早已預料到這一現象遲早會被人揭露,因此在CCXT 的免責聲明中,有著這樣一句話:「API 代理意味著CCXT 的資金來自交易所的API 代理計劃的回扣,並且它是許多交易所的官方API 代理」,實際上相當於隱晦的向用戶告知了這種獲利方式。
當@sunlc_crypto 向社區提出這個問題後,得到了不少用戶的支持。但也在其評測區內出現了大量質疑聲,有人質疑稱作為一個實力強勁的量化交易員,不應該在意這些手續費返佣。也有人表示,既然是開源代碼,使用時沒能發現這些設定並作出修改是自己的問題,CCXT 並不存在問題。不過,結合CCXT 的大範圍採用的現狀和廣受關注的聲譽來看,這種隱秘的編碼「小心思」的確有違社區對其的信任。
在事件曝光後,PANews 注意到CCXT 代碼仍保持每天更新的頻率,但截至5 月29 日並未對社區提出的這種隱秘硬編brokerId 代碼進行修改。 CCXT 的官方也沒有在社交媒體和Github 上回應此事。
當然,相比一些開源項目暗藏後門,直接威脅用戶本金安全的情況相比。 CCXT 的默認返佣收取甚至算不上Bug,只能是說開發者在設計上的一些「小心思」。然而,這種看似無關緊要的小心思可能比其他明碼標價的訂閱收費獲利更多。對用戶來說,一方面現在的AI 編程工具日益強大,不僅可以快速檢測出這種「別有用心」的設計,也可以支持從頭設計一個完全自主的交易代碼。另一方面,過分信任名聲在外的「免費」開源庫,可能反而繳納比普通訂閱費更高的費用。如果希望對自己的交易返佣權益有所保障,在採用類似的代碼庫之前還是要進行初始化參數的操作。
此事件最終給所有用戶敲響了警鐘:在加密貨幣這個充滿博弈的領域,對任何「免費午餐」保持必要的審視與警惕,仔細檢查每一行「信任」的代碼,或許才是保護自身權益最基礎也最關鍵的防線——因為有時,最昂貴的成本,恰恰隱藏在「免費」的表象之下。信任,終究不應被如此輕易地編碼成利潤。