原著者: Frank、PANews
最近、暗号通貨分野で最も権威のあるオープンソースの定量取引ライブラリである CCXT のコアコードに秘密が隠されていることが明らかになりました。事前設定されたリベート ID をハードコードすることで、ソフトウェアはユーザーに知られることなく、ユーザーに属するはずの交換手数料のリベートをひっそりとポケットに入れていたのです。
この啓示は湖に石を投げ込むようなものです。これは、オープンソースの光輪の下に隠された別のビジネスモデルを明らかにするだけでなく、その「無料」の利便性に頼っている無数の開発者やトレーディングチームに、信頼の礎の下に高い代償が埋もれている可能性があることに気づかせます。
Githubは36,000以上のスターを獲得しており、最も人気のあるオープンソースの暗号化コードとなっている。
CCXT (CryptoCurrency eXchange Trading Library) は、暗号通貨取引の分野で人気のオープン ソース ソフトウェア ライブラリです。その主な機能は、開発者、トレーダー、金融アナリストが世界中の多数の暗号通貨取引所を接続して操作するための統一されたインターフェースを提供することです。 CCXT プロジェクトは、ロシアの開発者 Igor Kroitor 氏によって 2016 年に開始されました。このライブラリは、JavaScript、Python、PHP、C#、Go など複数のプログラミング言語をサポートしており、さまざまな開発環境での適用性と採用性が大幅に広がります。
CCXT オープンソース ツールを導入することで、ユーザーは市場分析、指標開発、アルゴリズム取引、戦略バックテスト、注文配置など、暗号通貨取引に関連するさまざまな機能を開発できます。 CCXTはTradingviewの簡易版・無料版に相当すると言えます。現在、CCXT は Binance、OKX、Coinbase、Bybit、Bitget を含む 100 以上の暗号通貨取引所をサポートしており、他のほぼすべての主流の取引所は CCXT を介した直接アクセスを通じて取引ニーズを満たすことができます。
この便利なオープンソースのアプローチにより、CCXT はクオンツ取引や戦略取引などのプロの取引チームにとって最も人気のあるツールにも急速に成長しました。 Github では、CCXT は 36,000 以上のスターを獲得しており、これは金融分野でよく知られているオープンソース プロジェクトである QuantLib よりも多くなっています。セキュリティ企業 JFrog の 2025 年レポートによると、CCXT は Python の公式パッケージ マネージャーである PyPI で 9,300 万回以上ダウンロードされています。これほど多くのダウンロード数は、世界中の何千ものクオンツトレーダーや開発チームが CCXT を使用していることを反映しています。 2024年、CCXTはGithubで28位にランクされ、2024年に最も人気のあるPythonプロジェクトに選ばれました。
秘密の手数料の仕組み、ハードコードされたブローカーID、あるいは数千万ドルの隠れた利益
しかし、CCXT が広く称賛されている裏には、知られざるビジネス上の秘密があります。
5月27日、ブロガーの@sunlc_cryptoはソーシャルメディア上で、CCXTフレームワークの使用時に手数料に大きな異常があることを発見したことを明らかにした。その後、彼は CCXT の複数の取引所のソース コードで CCXT が独自のブローカー ID を追加したことを発見しました。つまり、これらの取引所の手数料アカウントが事前に設定されていたことになります。その結果、ユーザーが気づかず修正を行わない場合、手数料のほとんどが差し引かれてしまいます。 CCXTは、わずか2か月間でHyperliquid、Kucoin、Bybitを含む3つの取引所から約15,000ドルが盗まれたと主張した。この推定に基づくと、CCXT はこの方法で数千万ドル、あるいは数億ドル以上のリベートを獲得した可能性がある。
PANews は CCXT のオープンソースコードを確認した結果、OKX、KuCoin、Hyperliquid、Bitget、Binance などの複数の取引所の Python アダプターにデフォルトの BrokerId が含まれていることを発見しました。
一般的に、CCXT は複数の主流の取引所のアダプタにデフォルトの BrokerId パラメータを事前に設定していますが、そのほとんどはハードコードされています。ユーザーが CCXT を使用して直接注文し、関連するオプションを明示的に設定または変更しない場合、これらのデフォルトのブローカー ID がリクエストとともに送信され、潜在的な手数料のリベートは CCXT によって提供されたアカウントに帰属します。ただし、この点は CCXT の公式説明では強調されていません。
CCXT チームがこの方法でどれだけの利益を得たかはまだ不明ですが、結局のところ、それらのほとんどは中央集権型の取引所です。 PANewsはHyperliquidのソースコードからリベートアドレスを見つけようとしたが、その具体的なアドレスはコードのプレーンテキストではなく内部インターフェースを使って書かれていたため、最も直接的な証拠を見つけることは不可能だった。
「有料」から「無料」、「オプション推奨」から「隠されたハードコーディング」のビジネス秘密へ
PANews は CCXT の開発履歴を調べたところ、この事業は 2018 年頃から始まっていた可能性があることを発見しました。以前の CCXT には、月額 29 ドルから始まる Pro サブスクリプション サービスがありました。その後、CCXT は完全に無料になりました。 2018 年に、あるユーザーが Github で CCXT をサポートするためにオプションの紹介 ID を追加することを提案しました。メインメンテナーの kroitor はこれを歓迎し、これらのコードをアップデートに追加しました。しかし、発起者の提案から判断すると、この提案は主に推奨登録に対する報酬を目的としており、ユーザーが CCXT を入力するかどうかを選択できるオプションを提供しています。
しかし、これがCCXTが利益を上げるための出発点のようです。その後、主要なメンテナーがこのロジックをほとんどの主流の取引所のコードに追加したことは明らかです。さらに、その書き方は秘密にされているため、ほとんどのユーザーが見つけるのは困難です。これまでのところ、内部告発者として疑問を提起した@sunlc_cryptoを除いて、このコード設計に関する議論はインターネット上でほとんど行われていません。
もちろん、CCXTはこの現象が遅かれ早かれ暴露されることを予想していたようで、CCXTの免責事項には「APIエージェントとは、CCXTの資金が取引所のAPIエージェントプログラムからのリベートから来ており、多くの取引所の公式APIエージェントであることを意味します」という一文があり、実際にはこの利益獲得方法をユーザーに暗黙的に知らせているに等しいのです。
@sunlc_crypto さんがこの質問をコミュニティに提起したところ、多くのユーザーから支持を得ました。しかし、コメント欄には疑問の声も多数寄せられていました。強力な定量分析トレーダーであれば、こうした手数料のリベートを気にする必要はないのではないかと疑問を呈する人もいました。また、オープンソースコードなので、使用時にこれらの設定を発見して変更できなかった場合は自己責任であり、CCXT に問題はないと主張する人もいます。しかし、CCXT が広く採用され、広く認められている評判の現状を考慮すると、この秘密のコーディングの「ちょっとしたトリック」は、コミュニティの信頼を裏切るものであることは確かです。
事件が発覚した後、PANews は CCXT コードが依然として毎日更新されていることに気付きましたが、5 月 29 日時点では、コミュニティによって提案された秘密のハードコードされた BrokerId コードには変更が加えられていませんでした。 CCXT関係者はソーシャルメディアやGithubでこの件について反応しなかった。
もちろん、これは、隠されたバックドアを持ち、ユーザーの資本のセキュリティを直接脅かす一部のオープンソース プロジェクトと比較したものです。 CCXT のデフォルトのリベート収集はバグとさえみなされません。開発者がデザインに何らかの「ちょっとした考え」を持っているとしか言えません。しかし、この一見取るに足らない小さなトリックは、より明確に価格設定された他のサブスクリプション料金よりも収益性が高い可能性があります。一方、ユーザーにとって、今日の AI プログラミング ツールはますます強力になっており、このような「下心」のある設計を迅速に検出できるだけでなく、完全に自律的な取引コードをゼロから設計することもサポートできます。一方、評判の良い「無料」のオープンソース ライブラリを過度に信頼すると、通常のサブスクリプション料金よりも高い料金を支払うことになる可能性があります。取引リベート権を保護したい場合は、同様のコード ライブラリを使用する前にパラメーターを初期化する必要があります。
この事件は、最終的にすべてのユーザーに対する警鐘となりました。暗号通貨のゲーム分野では、あらゆる「無料ランチ」に対して必要な精査と警戒を維持し、「信頼できる」コードのすべての行を注意深くチェックすることが、自身の権利と利益を保護するための最も基本的かつ重要な防御策である可能性があります。なぜなら、最も高価なコストが「無料」の外観の下に隠れている場合があるためです。結局のところ、信頼はそう簡単に利益に結び付けられるべきではないのです。
