원저자: Frank, PANews
최근 암호화폐 분야에서 가장 권위 있는 오픈소스 양적 거래 라이브러리인 CCXT의 핵심 코드에 비밀이 숨겨져 있음이 밝혀졌습니다. 이 소프트웨어는 사전 설정된 환불 ID를 하드코딩하여 사용자가 모르게 사용자에게 속해야 할 거래소 수수료 환불금을 조용히 챙겼습니다.
이런 계시는 호수에 돌을 던지는 것과 같습니다. 이는 오픈소스라는 이름 아래 숨겨진 또 다른 비즈니스 모델을 보여줄 뿐만 아니라, 무료라는 편의성에 의존하는 수많은 개발자와 거래팀에게 신뢰라는 초석 아래 높은 가격이 묻혀 있을 수 있다는 사실을 깨닫게 합니다.
Github는 36,000개 이상의 별점을 받았으며, 이는 가장 인기 있는 오픈 소스 암호화 코드입니다.
CCXT(CryptoCurrency eXchange Trading Library)는 암호화폐 거래 분야에서 인기 있는 오픈소스 소프트웨어 라이브러리입니다. 핵심 기능은 개발자, 트레이더, 재무 분석가가 전 세계의 수많은 암호화폐 거래소를 연결하고 운영할 수 있는 통합 인터페이스를 제공하는 것입니다. CCXT 프로젝트는 러시아 개발자 이고르 크로이토르가 2016년 초에 시작했습니다. 이 라이브러리는 JavaScript, Python, PHP, C#, Go 등 여러 프로그래밍 언어를 지원하여 다양한 개발 환경에서 적용 가능성과 채택 폭이 크게 확대되었습니다.
CCXT 오픈 소스 도구를 배포하면 사용자는 시장 분석, 지표 개발, 알고리즘 트레이딩, 전략 백테스팅, 주문 실행 등 암호화폐 거래와 관련된 다양한 기능을 개발할 수 있습니다. CCXT는 Tradingview의 간소화되고 무료화된 버전과 같다고 할 수 있습니다. 현재 CCXT는 Binance, OKX, Coinbase, Bybit, Bitget 등 100개 이상의 암호화폐 거래소를 지원하며, 거의 모든 주요 거래소는 CCXT를 통한 직접 접근을 통해 거래 요구 사항을 충족할 수 있습니다.
이러한 편리한 오픈 소스 접근 방식 덕분에 CCXT는 양적 거래 및 전략적 거래와 같은 전문 거래팀에게 가장 인기 있는 도구로 빠르게 자리 잡았습니다. Github에서 CCXT는 36,000개가 넘는 별점을 받았는데, 이는 금융 분야에서 널리 알려진 오픈소스 프로젝트인 QuantLib보다 많은 수치입니다. 보안 회사 JFrog의 2025 보고서에 따르면 CCXT는 Python의 공식 패키지 관리자인 PyPI에서 9,300만 번 이상 다운로드되었습니다. 이렇게 많은 다운로드 수는 전 세계 수천 명의 양적 트레이더와 개발팀이 CCXT를 사용하고 있음을 보여줍니다. 2024년에 CCXT는 Github에서 28위를 차지했으며, 2024년 가장 인기 있는 Python 프로젝트로 선정되었습니다.
비밀 수수료 메커니즘, 하드코딩된 브로커 ID 또는 수천만 달러의 숨겨진 이익
하지만 폭넓은 호평 뒤에는 CCXT가 알려지지 않은 몇 가지 사업 비밀을 품고 있습니다.
5월 27일, 블로거 @sunlc_crypto는 소셜 미디어를 통해 CCXT 프레임워크를 사용할 때 수수료에 큰 이상이 있음을 발견했습니다. 그는 CCXT의 여러 거래소 소스 코드에서 CCXT가 자체 브로커 ID를 추가했다는 사실을 발견했습니다. 즉, 이러한 거래소의 수수료 계정은 미리 설정되어 있다는 뜻입니다. 따라서 사용자가 이를 인지하지 못하고 수정하지 않을 경우 대부분의 수수료가 차감됩니다. CCXT는 Hyperliquid, Kucoin, Bybit 등 3개 거래소에서 단 두 달 만에 약 15,000달러가 도난당했다고 주장했습니다. 이 추정에 따르면 CCXT는 이런 방식으로 수천만 달러, 심지어 수억 달러 이상의 리베이트를 벌어들였을 수도 있습니다.
PANews는 CCXT의 오픈 소스 코드를 검토한 결과, OKX, KuCoin, Hyperliquid, Bitget, Binance 등 여러 거래소의 Python 어댑터에 기본 브로커 ID가 포함되어 있음을 발견했습니다.
일반적으로 CCXT는 여러 주요 거래소의 어댑터에 기본 브로커 ID 매개변수를 미리 설정하는데, 이 중 대부분은 하드코딩되어 있습니다. 사용자가 CCXT를 사용하여 직접 주문을 하고 관련 옵션을 명시적으로 설정하거나 수정하지 않으면 이러한 기본 브로커 ID가 요청과 함께 전송되고 잠재적인 수수료 할인은 CCXT에서 제공한 계정에 적용됩니다. 하지만 이 점은 CCXT의 공식 설명에는 강조되어 있지 않습니다.
CCXT 팀이 이런 방식으로 얼마나 많은 이익을 얻었는지는 아직 알 수 없습니다. 결국 대부분이 중앙화된 거래소이기 때문입니다. PANews는 Hyperliquid의 소스 코드에서 환불 주소를 찾으려고 했지만, 구체적인 주소가 코드의 일반 텍스트로 작성되어 있지 않고 내부 인터페이스를 사용했기 때문에 가장 직접적인 증거를 찾는 것은 불가능했습니다.
유료에서 무료로, 선택적 추천에서 숨겨진 하드 코딩 비즈니스 비밀로
PANews는 CCXT의 개발 이력을 살펴본 결과, 이 작업이 2018년 초에 시작되었을 가능성이 있음을 발견했습니다. 이전 CCXT는 월 29달러부터 시작하는 Pro 구독 서비스를 제공했습니다. 이후 CCXT는 완전히 자유로워졌습니다. 2018년에 한 사용자가 CCXT를 지원하기 위해 선택적 추천 ID를 추가하자고 Github에 제안했습니다. 주요 관리자인 kroitor는 이를 환영하고 업데이트에 다음 코드를 추가했습니다. 그러나 제안자의 제안을 보면, 이 제안은 주로 추천 등록에 대한 보상을 목표로 하고 있으며, 사용자가 CCXT를 입력할지 여부를 선택할 수 있는 선택적 옵션을 제공합니다.
하지만 이것이 CCXT가 수익을 낼 수 있는 시작점인 듯합니다. 나중에 주요 유지 관리자들은 이 논리를 대부분의 주요 거래소 코드에 추가했습니다. 게다가 글쓰기 방법이 비밀스러워서 대부분 사용자가 찾기 어렵습니다. 지금까지 이 코드 설계에 대한 논의는 인터넷에서 거의 이뤄지지 않았습니다. 다만 @sunlc_crypto가 고발자로서 문제를 제기했을 뿐입니다.
물론 CCXT는 이런 현상이 조만간 드러날 것을 예상한 듯, CCXT의 면책 조항에는 API 에이전트란 CCXT의 자금이 거래소의 API 에이전트 프로그램에서 얻은 리베이트에서 나온다는 것을 의미하며, CCXT는 많은 거래소의 공식 API 에이전트입니다라는 문장이 있는데, 이는 사실상 사용자에게 이런 수익 방식을 암묵적으로 알리는 것과 같습니다.
@sunlc_crypto가 커뮤니티에 이 질문을 제기하자 많은 사용자로부터 지지를 받았습니다. 하지만 댓글에서는 많은 의문이 제기됐습니다. 일부 사람들은 양적 거래에 능숙한 사람이라면 이러한 수수료 할인에 신경 쓸 필요가 없다고 의문을 제기했습니다. 또한 일부 사람들은 CCXT는 오픈소스 코드이기 때문에 이러한 설정을 발견하지 못하고 사용하면서 수정하지 못했다면 모두 자신의 잘못이며, CCXT에는 문제가 없다고 말했습니다. 하지만 CCXT가 널리 채택되고 널리 알려진 평판을 고려하면, 이런 비밀스러운 코딩 작은 속임수는 커뮤니티의 신뢰를 훼손하는 셈입니다.
이 사건이 폭로된 후, PANews는 CCXT 코드가 여전히 매일 업데이트되고 있음을 발견했지만, 5월 29일 현재 커뮤니티에서 제안한 비밀 하드코딩된 브로커 ID 코드에는 아무런 변경 사항이 없었습니다. CCXT 임원진은 소셜 미디어나 Github을 통해 이 문제에 응답하지 않았습니다.
물론, 이는 숨겨진 백도어를 가지고 있어 사용자 자본의 보안을 직접적으로 위협하는 일부 오픈소스 프로젝트와 비교되는 것입니다. CCXT의 기본 리베이트 징수는 버그로 간주될 수도 없습니다. 개발자가 디자인에 작은 생각을 넣었다고만 말할 수 있습니다. 하지만 이런 사소해 보이는 작은 꼼수가 다른, 가격이 명확하게 표시된 구독료보다 더 많은 수익을 낼 수 있습니다. 한편, 사용자에게 있어서 오늘날의 AI 프로그래밍 도구는 점점 더 강력해지고 있으며, 이러한 숨은 동기 디자인을 빠르게 감지할 수 있을 뿐만 아니라 완전히 자율적인 거래 코드를 처음부터 설계할 수 있도록 지원합니다. 반면, 평판이 좋은 무료 오픈 소스 라이브러리를 너무 신뢰하면 일반 구독료보다 더 많은 비용을 지불해야 할 수도 있습니다. 거래 할인권을 보호하려면 비슷한 코드 라이브러리를 사용하기 전에 매개변수를 초기화해야 합니다.
이 사건은 궁극적으로 모든 사용자에게 경각심을 일깨워 주었습니다. 암호화폐 게임 분야에서 무료 점심에 대한 필요한 조사와 경계를 유지하고 신뢰할 수 있는 코드의 모든 줄을 주의 깊게 검사하는 것이 자신의 권리와 이익을 보호하는 가장 기본적이고 중요한 방어선일 수 있습니다. 때로는 가장 큰 비용이 무료라는 외관 뒤에 숨겨져 있기 때문입니다. 결국, 신뢰는 그렇게 쉽게 이익으로 전환되어서는 안 됩니다.
