原文作者:Frank,PANews
近期,加密货币领域最负盛名的开源量化交易库 CCXT 被爆出其核心代码中暗藏玄机:通过硬编码预设返佣 ID,该软件在用户不知情的情况下,悄然将本应属于用户的交易所手续费返佣收入囊中。
这一爆料犹如投石入湖,不仅揭示了开源光环下的另一种隐秘商业模式,更让无数依赖其“免费”便利的开发者、交易团队惊觉,信任的基石下,可能早已埋下了昂贵的代价。
Github 上超 3.6 万星标,最普及的加密开源代码
CCXT (CryptoCurrency eXchange Trading Library) 是一个在加密货币交易领域广受欢迎的开源软件库,其核心功能是为开发者、交易者和金融分析师提供一个统一的接口,用以连接并操作全球范围内的众多加密货币交易所 。CCXT 项目由俄罗斯开发者 Igor Kroitor 发起,最早可以追溯到 2016 年,该库支持多种编程语言,包括 JavaScript、Python、PHP、C# 和 Go,极大地拓宽了其在不同开发环境中的适用性与采纳度。
通过部署 CCXT 开源工具,用户可以进行市场分析、指标开发、算法交易、策略回测及下单等多种与加密货币交易相关的功能开发,可以说 CCXT 相当于一个简化版且免费的 Tradingview。截至目前,CCXT 支持的加密货币交易所超过 100 家,包括币安、OKX、Coinbase、Bybit、Bitget 等几乎所有主流交易所都能通过直接接入的方式通过 CCXT 满足交易需求。
这种便捷的开源方式也让 CCXT 迅速成为量化交易、策略交易等专业交易团队最普及的工具。在 Github 上,CCXT 拥有超过 3.6 万个星标,比金融领域的知名开源项目 QuantLib 还要多。据安全公司 JFrog 2025 年报告,CCXT 在 Python 官方包管理器 PyPI 上的累计下载量已超过 9300 万次如此庞大的下载次数反映出全球范围内有成千上万的量化交易者和开发团队在使用 CCXT。2024 年 CCXT 在 Github 上排名第 28 ,并入选了 2024 年最流行的 Python 项目。
隐秘的抽佣机制,硬编码 Broker ID,或得千万美元隐形收益
但在广受好评的背后,CCXT 却有着不为人知的生意经。
5 月 27 日,@sunlc_crypto 博主在社交媒体曝光称,自己使用 CCXT 框架发现返佣的手续费有较大的异常,随后在 CCXT 的多个交易所的源代码中发现,CCXT 在其中加上了自己的 broker id,也就是预设了这些交易所的返佣账户,导致用户如果不知晓,不修改的情况下会被抽走大部分的返佣手续费。CCXT 称自己在 hyperliquid、Kucoin、Bybit 等三个交易所两个月就被偷走约 1.5 万美元。以此预估,CCXT 通过这种方式可能已经获利超过千万甚至上亿美元的返佣。
PANews 通过查看 CCXT 的开源代码发现,在 OKX、KuCoin、Hyperliquid、Bitget、Binance 等多个交易所的 Python 适配器的确包含了默认的 brokerId。
总的来看 CCXT 的确在多个主流交易所的适配器中预置了默认的 brokerId 参数,这些参数大多数以硬编码的形式存在。当用户直接使用 CCXT 下单且未明确设置或修改相关的选项是,这些默认的 broker Id 就会随着请求一同被发送,将潜在的手续费返佣归于 CCXT 提供的账户。但在 CCXT 的官方说明当中,并未突出说明这一点。
通过这种方式 CCXT 团队具体获得了多少收益目前仍不得而知,毕竟多数是中心化交易所。PANews 试图从 Hyperliquid 的源代码中找到返佣地址,但因其具体的地址未编写在代码明文当中,而是采用内部接口的方式,因而也没法找到最直接的证明。
从“收费”到“免费”,从“可选推荐”到“隐藏硬编”的生意经
翻看 CCXT 的开发历史,PANews 发现这种操作可能最早起源于 2018 年。早期的 CCXT 有这一个 Pro 版的订阅服务,每月 29 美元起。后来 CCXT 彻底转为免费, 2018 年,一位用户在 Github 上提出,建议添加可选的推荐 ID 来支持 CCXT,主要的维护者 kroitor 对此表示欢迎,并在更新中添加了这些代码。不过从倡议者的建议来看,这个建议主要是针对推荐注册的奖励,并且提供一个可选的选项,用户可以选择填写 CCXT 或者不填写。
但这似乎成为启发 CCXT 获利的起点,后期显然主要的维护者将多数的主流交易所代码当中目前都添加了这种逻辑,加上编写方式隐秘,多数用户很难发现。截至目前,除了@sunlc_crypto 作为吹哨人提出质疑之外,网络上几乎没有关于这项代码设计的讨论。
当然,CCXT 似乎也早已预料到这一现象迟早会被人揭露,因此在 CCXT 的免责声明中,有着这样一句话:“API 代理意味着 CCXT 的资金来自交易所的 API 代理计划的回扣,并且它是许多交易所的官方 API 代理”,实际上相当于隐晦的向用户告知了这种获利方式。
当@sunlc_crypto 向社区提出这个问题后,得到了不少用户的支持。但也在其评论区内出现了大量质疑声,有人质疑称作为一个实力强劲的量化交易员,不应该在意这些手续费返佣。也有人表示,既然是开源代码,使用时没能发现这些设定并作出修改是自己的问题,CCXT 并不存在问题。不过,结合 CCXT 的大范围采用的现状和广受关注的声誉来看,这种隐秘的编码“小心思”的确有违社区对其的信任。
在事件曝光后,PANews 注意到 CCXT 代码仍保持每天更新的频率,但截至 5 月 29 日并未对社区提出的这种隐秘硬编 brokerId 代码进行修改。CCXT 的官方也没有在社交媒体和 Github 上回应此事。
当然,相比一些开源项目暗藏后门,直接威胁用户本金安全的情况相比。CCXT 的默认返佣收取甚至算不上 Bug,只能是说开发者在设计上的一些“小心思”。然而,这种看似无关紧要的小心思可能比其他明码标价的订阅收费获利更多。对用户来说,一方面现在的 AI 编程工具日益强大,不仅可以快速检测出这种“别有用心”的设计,也可以支持从头设计一个完全自主的交易代码。另一方面,过分信任名声在外的“免费”开源库,可能反而缴纳比普通订阅费更高的费用。如果希望对自己的交易返佣权益有所保障,在采用类似的代码库之前还是要进行初始化参数的操作。
此事件最终给所有用户敲响了警钟:在加密货币这个充满博弈的领域,对任何“免费午餐”保持必要的审视与警惕,仔细检查每一行“信任”的代码,或许才是保护自身权益最基础也最关键的防线——因为有时,最昂贵的成本,恰恰隐藏在“免费”的表象之下。信任,终究不应被如此轻易地编码成利润。
