原文作者:Frank,PANews
近期,加密貨幣領域最負盛名的開源量化交易庫 CCXT 被爆出其核心代碼中暗藏玄機:透過硬編碼預設返傭 ID,該軟體在用戶不知情的情況下,悄然將本應屬於用戶的交易所手續費返傭收入囊中。
這項爆料猶如投石入湖,不僅揭示了開源光環下的另一種隱密商業模式,更讓無數依賴其「免費」便利的開發者、交易團隊驚覺,信任的基石下,可能早已埋下了昂貴的代價。
Github 上超 36,000 星標,最普及的加密開源程式碼
CCXT (CryptoCurrency eXchange Trading Library) 是一個在加密貨幣交易領域廣受歡迎的開源軟體庫,其核心功能是為開發者、交易者和金融分析師提供一個統一的接口,用以連接並操作全球範圍內的眾多加密貨幣交易所。 CCXT 專案由俄羅斯開發者Igor Kroitor 發起,最早可追溯至2016 年,該程式庫支援多種程式語言,包括JavaScript、Python、PHP、C# 和 Go,大大拓寬了其在不同開發環境中的適用性與採納度。
透過部署 CCXT 開源工具,使用者可以進行市場分析、指標開發、演算法交易、策略回測及下單等多種與加密貨幣交易相關的功能開發,可以說 CCXT 相當於一個簡化版且免費的 Tradingview。截至目前,CCXT 支援的加密貨幣交易所超過 100 家,包括幣安、OKX、Coinbase、Bybit、Bitget 等幾乎所有主流交易所都能透過直接存取的方式透過 CCXT 滿足交易需求。
這種便利的開源方式也讓 CCXT 迅速成為量化交易、策略交易等專業交易團隊最普及的工具。在 Github 上,CCXT 擁有超過 3.6 萬個星標,比金融領域的知名開源專案 QuantLib 還要多。根據安全公司 JFrog 2025 年報告,CCXT 在 Python 官方套件管理器 PyPI 上的累積下載量已超過 9,300 萬次如此龐大的下載次數反映出全球範圍內有成千上萬的量化交易者和開發團隊在使用CCXT。 2024 年 CCXT 在 Github 上排名第 28 ,並入選了 2024 年最受歡迎的 Python 專案。
隱密的抽傭機制,硬編碼 Broker ID,或得千萬美元隱形收益
但在廣受好評的背後,CCXT 卻有著不為人知的生意經。
5 月 27 日,@sunlc_crypto 博主在社交媒體曝光稱,自己使用 CCXT 框架發現返傭的手續費有較大的異常,隨後在 CCXT 的多個交易所的源代碼中發現,CCXT 在其中加上了自己的 broker id,也就是預設了這些交易所的返傭賬戶,導致用戶如果不知曉,不換手續的情況下會被修改。 CCXT 稱自己在 hyperliquid、Kucoin、Bybit 等三個交易所兩個月就被偷走約 1.5 萬美元。以此預估,CCXT 透過這種方式可能已經獲利超過千萬甚至上億美元的返傭。
PANews 透過查看 CCXT 的開源程式碼發現,在 OKX、KuCoin、Hyperliquid、Bitget、Binance 等多個交易所的 Python 適配器的確包含了預設的brokerId。
總的來看 CCXT 的確在多個主流交易所的適配器中預置了預設的 brokerId 參數,這些參數大多以硬編碼的形式存在。當使用者直接使用 CCXT 下單且未明確設定或修改相關的選項是,這些預設的 broker Id 就會隨著請求一同被發送,將潛在的手續費返傭歸於 CCXT 提供的帳戶。但在 CCXT 的官方說明當中,並未突出說明這一點。
透過這種方式 CCXT 團隊具體獲得了多少收益目前仍不得而知,畢竟多數是中心化交易所。 PANews 試圖從 Hyperliquid 的源代碼中找到返傭地址,但因其具體的地址未編寫在代碼明文當中,而是採用內部接口的方式,因而也沒法找到最直接的證明。
從“收費”到“免費”,從“可選推薦”到“隱藏硬編”的生意經
翻看 CCXT 的開發歷史,PANews 發現這種操作可能最早起源於 2018 年。早期的 CCXT 有這個 Pro 版的訂閱服務,每月 29 美元起。後來 CCXT 徹底轉為免費, 2018 年,一位用戶在 Github 上提出,建議添加可選的推薦 ID 來支持 CCXT,主要的維護者 kroitor 對此表示歡迎,並在更新中添加了這些代碼。不過從倡議者的建議來看,這個建議主要是針對推薦註冊的獎勵,並且提供一個可選的選項,用戶可以選擇填寫 CCXT 或不填寫。
但這似乎成為啟發 CCXT 獲利的起點,後期顯然主要的維護者將多數的主流交易所代碼當中目前都添加了這種邏輯,加上編寫方式隱秘,多數用戶很難發現。截至目前,除了@sunlc_crypto 作為吹哨人提出質疑之外,網路上幾乎沒有關於這項程式碼設計的討論。
當然,CCXT 似乎也早已預料到這一現象遲早會被人揭露,因此在 CCXT 的免責聲明中,有著這樣一句話:“API 代理意味著CCXT 的資金來自交易所的API 代理計劃的回扣,並且它是許多交易所的官方API 代理”,實際上相當於隱晦的向用戶告知了這種獲利方式。
當@sunlc_crypto 向社群提出這個問題後,得到了不少用戶的支持。但也在其評論區內出現了大量質疑聲,有人質疑稱作為一個實力強勁的量化交易員,不應該在意這些手續費返傭。也有人表示,既然是開源程式碼,使用時沒能發現這些設定並作出修改是自己的問題,CCXT 並不存在問題。不過,結合 CCXT 的大範圍採用的現狀和廣受關注的聲譽來看,這種隱秘的編碼「小心思」的確有違社區對其的信任。
在事件曝光後,PANews 注意到 CCXT 代碼仍保持每天更新的頻率,但截至 5 月 29 日並未對社區提出的這種隱密硬編 brokerId 代碼進行修改。 CCXT 的官方也沒有在社群媒體和 Github 上回應此事。
當然,相較於一些開源專案暗藏後門,直接威脅用戶本金安全的情況相比。 CCXT 的預設返傭收取甚至不算 Bug,只能是說開發者在設計上的一些「小心思」。然而,這種看似無關緊要的小心思可能比其他明碼標價的訂閱收費獲利更多。對使用者來說,一方面現在的 AI 編程工具日益強大,不僅可以快速檢測出這種「別有用心」的設計,還可以支援從頭設計一個完全自主的交易代碼。另一方面,過度信任名聲在外的「免費」開源庫,可能反而繳納比一般訂閱費更高的費用。如果希望對自己的交易返傭權益有所保障,在採用類似的程式碼庫之前還是要進行初始化參數的操作。
此事件最終給所有用戶敲響了警鐘:在加密貨幣這個充滿博弈的領域,對任何「免費午餐」保持必要的審視與警惕,仔細檢查每一行「信任」的代碼,或許才是保護自身權益最基礎也最關鍵的防線——因為有時,最昂貴的成本,恰恰隱藏在「免費」的表象之下。信任,終究不應如此輕易地編碼成利潤。
