Tác giả gốc: Frank, PANews
Gần đây, CCXT, thư viện giao dịch định lượng mã nguồn mở uy tín nhất trong lĩnh vực tiền điện tử, đã bị phát hiện có một bí mật ẩn trong mã lõi của nó: bằng cách mã hóa cứng ID hoàn tiền được cài đặt sẵn, phần mềm này đã âm thầm bỏ túi khoản hoàn phí giao dịch mà đáng lẽ phải thuộc về người dùng mà không có sự cho phép của người dùng.
Sự tiết lộ này giống như việc ném một hòn đá xuống hồ. Nó không chỉ tiết lộ một mô hình kinh doanh ẩn khác dưới vỏ bọc của mã nguồn mở mà còn khiến vô số nhà phát triển và nhóm giao dịch dựa vào sự tiện lợi miễn phí của nó nhận ra rằng có thể có một cái giá cao ẩn dưới nền tảng của lòng tin.
Github có hơn 36.000 sao, khiến nó trở thành mã nguồn mở mã hóa phổ biến nhất
CCXT (CryptoCurrency eXchange Trading Library) là một thư viện phần mềm nguồn mở phổ biến trong lĩnh vực giao dịch tiền điện tử. Chức năng cốt lõi của nó là cung cấp giao diện thống nhất cho các nhà phát triển, nhà giao dịch và nhà phân tích tài chính để kết nối và vận hành nhiều sàn giao dịch tiền điện tử trên toàn thế giới. Dự án CCXT được khởi xướng bởi nhà phát triển người Nga Igor Kroitor vào đầu năm 2016. Thư viện hỗ trợ nhiều ngôn ngữ lập trình, bao gồm JavaScript, Python, PHP, C# và Go, mở rộng đáng kể khả năng ứng dụng và áp dụng trong các môi trường phát triển khác nhau.
Bằng cách triển khai công cụ nguồn mở CCXT, người dùng có thể phát triển nhiều chức năng liên quan đến giao dịch tiền điện tử, chẳng hạn như phân tích thị trường, phát triển chỉ báo, giao dịch thuật toán, kiểm tra ngược chiến lược và đặt lệnh. Có thể nói CCXT tương đương với phiên bản Tradingview đơn giản và miễn phí. Tính đến thời điểm hiện tại, CCXT hỗ trợ hơn 100 sàn giao dịch tiền điện tử, bao gồm Binance, OKX, Coinbase, Bybit, Bitget và hầu hết các sàn giao dịch chính thống khác đều có thể đáp ứng nhu cầu giao dịch của họ thông qua quyền truy cập trực tiếp thông qua CCXT.
Phương pháp mã nguồn mở tiện lợi này cũng giúp CCXT nhanh chóng trở thành công cụ phổ biến nhất cho các nhóm giao dịch chuyên nghiệp như giao dịch định lượng và giao dịch chiến lược. Trên Github, CCXT có hơn 36.000 sao, nhiều hơn QuantLib, một dự án nguồn mở nổi tiếng trong lĩnh vực tài chính. Theo báo cáo năm 2025 của công ty bảo mật JFrog, CCXT đã được tải xuống hơn 93 triệu lần trên PyPI, trình quản lý gói chính thức của Python. Số lượng tải xuống lớn như vậy phản ánh rằng hàng nghìn nhà giao dịch định lượng và nhóm phát triển trên toàn thế giới đang sử dụng CCXT. Năm 2024, CCXT xếp hạng 28 trên Github và được chọn là dự án Python phổ biến nhất năm 2024.
Cơ chế hoa hồng bí mật, ID môi giới được mã hóa cứng hoặc hàng chục triệu đô la lợi nhuận ẩn
Nhưng đằng sau sự hoan nghênh rộng rãi, CCXT còn có một số bí mật kinh doanh chưa được biết đến.
Vào ngày 27 tháng 5, blogger @sunlc_crypto đã tiết lộ trên mạng xã hội rằng anh đã phát hiện ra một bất thường lớn trong phí hoa hồng khi sử dụng nền tảng CCXT. Sau đó, anh phát hiện ra trong mã nguồn của nhiều sàn giao dịch CCXT rằng CCXT đã thêm ID môi giới riêng của mình, điều này có nghĩa là các tài khoản hoa hồng của các sàn giao dịch này đã được thiết lập sẵn. Do đó, nếu người dùng không biết và không sửa đổi, phần lớn phí hoa hồng sẽ bị khấu trừ. CCXT tuyên bố rằng khoảng 15.000 đô la đã bị đánh cắp từ ba sàn giao dịch bao gồm Hyperliquid, Kucoin và Bybit chỉ trong vòng hai tháng. Dựa trên ước tính này, CCXT có thể đã kiếm được hàng chục triệu hoặc thậm chí hàng trăm triệu đô la tiền hoàn lại theo cách này.
PANews phát hiện thông qua việc xem xét mã nguồn mở của CCXT rằng bộ điều hợp Python của nhiều sàn giao dịch bao gồm OKX, KuCoin, Hyperliquid, Bitget, Binance, v.v. có bao gồm brokerId mặc định.
Nhìn chung, CCXT cài đặt sẵn các tham số brokerId mặc định trong bộ điều hợp của nhiều sàn giao dịch chính thống, hầu hết đều được mã hóa cứng. Khi người dùng đặt lệnh trực tiếp bằng CCXT và không thiết lập hoặc sửa đổi rõ ràng các tùy chọn có liên quan, các ID môi giới mặc định này sẽ được gửi cùng với yêu cầu và khoản hoàn tiền hoa hồng tiềm năng sẽ được ghi có vào tài khoản do CCXT cung cấp. Tuy nhiên, điểm này không được nêu rõ trong mô tả chính thức của CCXT.
Người ta vẫn chưa biết nhóm CCXT đã thu được bao nhiêu lợi nhuận theo cách này, dù sao thì hầu hết chúng đều là các sàn giao dịch tập trung. PANews đã cố gắng tìm địa chỉ hoàn tiền từ mã nguồn của Hyperliquid, nhưng vì địa chỉ cụ thể của nó không được viết trong văn bản thuần túy của mã mà sử dụng giao diện nội bộ nên không thể tìm thấy bằng chứng trực tiếp nhất.
Từ tính phí đến miễn phí, từ khuyến nghị tùy chọn đến mã hóa cứng ẩn bí mật kinh doanh
Khi xem xét lịch sử phát triển của CCXT, PANews nhận thấy hoạt động này có thể bắt đầu từ năm 2018. Các CCXT trước đó có dịch vụ đăng ký Pro với mức giá khởi điểm là 29 đô la một tháng. Sau đó, CCXT trở nên hoàn toàn miễn phí. Vào năm 2018, một người dùng đã đề xuất trên Github thêm ID giới thiệu tùy chọn để hỗ trợ CCXT. Người bảo trì chính kroitor hoan nghênh điều này và đã thêm những mã này vào bản cập nhật. Tuy nhiên, xét theo đề xuất của người khởi xướng, đề xuất này chủ yếu hướng đến phần thưởng cho những lượt đăng ký được giới thiệu và cung cấp tùy chọn cho phép người dùng có thể điền CCXT hay không.
Nhưng đây có vẻ là điểm khởi đầu để CCXT kiếm được lợi nhuận. Sau đó, những người bảo trì chính đã thêm logic này vào mã của hầu hết các sàn giao dịch chính thống. Ngoài ra, phương pháp viết này khá bí mật, khiến hầu hết người dùng khó có thể tìm ra. Cho đến nay, hầu như không có cuộc thảo luận nào trên Internet về thiết kế mã này, ngoại trừ @sunlc_crypto, người đã nêu câu hỏi với tư cách là người tố giác.
Tất nhiên, CCXT dường như đã lường trước được hiện tượng này sớm muộn gì cũng bị phát hiện, vì vậy trong tuyên bố từ chối trách nhiệm của CCXT có một câu: Đại lý API có nghĩa là tiền của CCXT đến từ khoản hoàn tiền từ chương trình đại lý API của sàn giao dịch và là đại lý API chính thức của nhiều sàn giao dịch, trên thực tế tương đương với việc thông báo ngầm cho người dùng về cách kiếm lợi nhuận này.
Khi @sunlc_crypto nêu câu hỏi này với cộng đồng, anh đã nhận được sự ủng hộ từ nhiều người dùng. Tuy nhiên, cũng có rất nhiều nghi vấn trong phần bình luận. Một số người thắc mắc rằng với tư cách là một nhà giao dịch định lượng giỏi, người ta không nên quan tâm đến các khoản hoàn hoa hồng này. Một số người cũng cho rằng vì đây là mã nguồn mở nên nếu họ không phát hiện ra những thiết lập này và không thực hiện bất kỳ thay đổi nào khi sử dụng thì đó là lỗi của họ, còn CCXT thì không có vấn đề gì. Tuy nhiên, xét đến tình hình hiện tại của việc áp dụng rộng rãi CCXT và danh tiếng được công nhận rộng rãi của nó, mẹo nhỏ mã hóa bí mật này thực sự vi phạm lòng tin của cộng đồng dành cho nó.
Sau khi sự cố bị phát hiện, PANews nhận thấy mã CCXT vẫn được cập nhật hàng ngày, nhưng tính đến ngày 29 tháng 5, vẫn chưa có thay đổi nào được thực hiện đối với mã brokerId bí mật được cộng đồng đề xuất. Các quan chức CCXT không trả lời vấn đề này trên mạng xã hội hoặc Github.
Tất nhiên, điều này được so sánh với một số dự án nguồn mở có chứa cửa hậu và đe dọa trực tiếp đến tính bảo mật vốn của người dùng. Việc thu tiền hoàn lại mặc định của CCXT thậm chí không thể được coi là một lỗi. Người ta chỉ có thể nói rằng nhà phát triển có một số suy nghĩ nhỏ trong thiết kế. Tuy nhiên, mẹo nhỏ có vẻ không đáng kể này có thể mang lại nhiều lợi nhuận hơn so với các loại phí đăng ký khác có giá rõ ràng hơn. Đối với người dùng, một mặt, các công cụ lập trình AI ngày nay ngày càng mạnh mẽ hơn, không chỉ có thể phát hiện nhanh chóng những thiết kế có “động cơ thầm kín” như vậy mà còn hỗ trợ thiết kế mã giao dịch hoàn toàn tự động ngay từ đầu. Mặt khác, việc quá tin tưởng vào một thư viện mã nguồn mở “miễn phí” có uy tín có thể khiến bạn phải trả nhiều hơn mức phí đăng ký thông thường. Nếu bạn muốn bảo vệ quyền hoàn tiền giao dịch của mình, bạn vẫn cần khởi tạo các tham số trước khi sử dụng thư viện mã tương tự.
Cuối cùng, sự cố này đã gióng lên hồi chuông cảnh tỉnh cho tất cả người dùng: trong lĩnh vực trò chơi tiền điện tử, việc duy trì sự giám sát và cảnh giác cần thiết đối với bất kỳ bữa trưa miễn phí nào và kiểm tra cẩn thận từng dòng mã đáng tin cậy có thể là tuyến phòng thủ cơ bản và quan trọng nhất để bảo vệ quyền và lợi ích của chính mình - bởi vì đôi khi, chi phí đắt đỏ nhất lại ẩn dưới vẻ ngoài miễn phí. Suy cho cùng, lòng tin không nên dễ dàng được mã hóa thành lợi nhuận.
