CCXT陷「隐秘抽佣」风波：3.6万星标背后的暗藏利益链条

原文作者：Frank，PANews

近日，加密货币领域备受推崇的开源量化交易库 CCXT 被曝出其核心代码中存在一条鲜为人知的利益链：通过硬编码预设返佣 ID，该软件在用户未察觉的情况下悄然将本应属于用户的交易所手续费返佣收入囊中。

这一爆料犹如一颗石子投入平静的湖面，不仅揭示了开源项目背后隐藏的另一种商业模式，更让无数依赖其“免费”便利的开发者和交易团队意识到，信任的基石下可能早已埋下了昂贵的代价。

Github 上超 3.6 万星标，最普及的加密开源代码

CCXT (CryptoCurrency eXchange Trading Library) 是一个在加密货币交易领域广受欢迎的开源软件库。其核心功能是为开发者、交易者和金融分析师提供统一接口，连接并操作全球范围内的众多加密货币交易所。该项目由俄罗斯开发者 Igor Kroitor 发起，最早可追溯至 2016 年，支持多种编程语言，包括 JavaScript、Python、PHP、C# 和 Go，极大拓宽了其在不同开发环境中的适用性与采纳度。

借助 CCXT 开源工具，用户可以进行市场分析、指标开发、算法交易、策略回测及下单等与加密货币交易相关的功能开发。可以说，CCXT 相当于一个简化版且免费的 TradingView。截至目前，CCXT 支持的加密货币交易所超过 100 家，包括币安、OKX、Coinbase、Bybit、Bitget 等几乎所有主流交易所，满足了广泛的交易需求。

这种便捷的开源方式也让 CCXT 迅速成为量化交易、策略交易等专业交易团队中最普及的工具。在 Github 上，CCXT 拥有超过 3.6 万个星标，甚至超过了金融领域的知名开源项目 QuantLib。据安全公司 JFrog 2025 年报告，CCXT 在 Python 官方包管理器 PyPI 上的累计下载量已超过 9300 万次，反映出全球范围内成千上万的量化交易者和开发团队正在使用该工具。2024 年，CCXT 在 Github 上排名第 28 位，并入选了 2024 年最流行的 Python 项目。

隐秘的抽佣机制，硬编码 Broker ID 或获千万美元隐形收益

然而，在广受好评的背后，CCXT 却隐藏着不为人知的生意经。

5 月 27 日，博主 @sunlc_crypto 在社交媒体上曝光称，自己在使用 CCXT 框架时发现返佣的手续费存在异常。随后在 CCXT 的多个交易所源代码中发现，CCXT 在其中预置了自己的 broker id，相当于预设了这些交易所的返佣账户。如果用户不修改相关设置，默认情况下大部分返佣手续费会被 CCXT 抽走。据 @sunlc_crypto 称，仅在 hyperliquid、Kucoin 和 Bybit 三个交易所，两个月内就被“偷走”约 1.5 万美元。以此推算，CCXT 可能通过这种方式获利千万甚至上亿美元。

PANews 查阅 CCXT 的开源代码后发现，在 OKX、KuCoin、Hyperliquid、Bitget 和 Binance 等多个交易所的 Python 适配器中确实包含了默认的 brokerId。

总体来看，CCXT 确实在多个主流交易所的适配器中预置了默认的 brokerId 参数，这些参数大多以硬编码的形式存在。当用户直接使用 CCXT 下单且未明确设置或修改相关选项时，这些默认的 broker Id 将随着请求一同被发送，潜在的手续费返佣归于 CCXT 提供的账户。然而，CCXT 的官方说明中并未突出这一点。

目前尚无法得知 CCXT 团队通过这种方式获得了多少收益，毕竟多数是中心化交易所。PANews 尝试从 Hyperliquid 的源代码中找到返佣地址，但因其具体地址未编写在代码明文中，而是采用内部接口的方式，因此也无法找到直接证明。

从“收费”到“免费”，从“可选推荐”到“隐藏硬编”的生意经

翻看 CCXT 的开发历史，PANews 发现这种操作可能最早起源于 2018 年。早期的 CCXT 曾推出过一个 Pro 版订阅服务，每月收费 29 美元起。后来 CCXT 彻底转为免费模式。2018 年，一位用户在 Github 上提议，建议添加可选的推荐 ID 来支持 CCXT，主要维护者 kroitor 对此表示欢迎，并在更新中添加了这些代码。然而，从倡议者的初衷来看，这项建议主要是针对推荐注册奖励，并提供一个可选选项，用户可以选择填写或不填写。

但这似乎成为了启发 CCXT 获利的起点。后期，主要维护者显然将这种逻辑扩展到了大多数主流交易所的代码中，加上隐秘的编写方式，多数用户难以察觉。截至目前，除了 @sunlc_crypto 作为吹哨人提出质疑外，网络上几乎没有关于这项代码设计的讨论。

当然，CCXT 似乎也早有预料此类现象迟早会被揭露，因此在其免责声明中写道：“API 代理意味着 CCXT 的资金来自交易所的 API 代理计划的回扣，并且它是许多交易所的官方 API 代理。”这实际上相当于隐晦地向用户告知了这种获利方式。

事件曝光后，@sunlc_crypto 向社区提出质疑，得到了不少用户的支持。但评论区也出现了大量质疑声。有人认为，作为一名实力强劲的量化交易员，不应在意这些手续费返佣；也有人表示，既然是开源代码，使用时未能发现这些设定并作出修改是用户自身的问题，CCXT 并不存在问题。然而，结合 CCXT 广泛采用的现状和良好声誉来看，这种隐秘的编码“小心思”确实有违社区对其的信任。

事件曝光后，PANews 注意到 CCXT 代码仍保持每天更新的频率，但截至 5 月 29 日，仍未对社区提出的隐秘硬编 brokerId 代码进行修改。CCXT 官方也未在社交媒体和 Github 上回应此事。

当然，相比一些开源项目暗藏后门直接威胁用户本金安全的情况，CCXT 的默认返佣收取甚至算不上 Bug，只能说是开发者在设计上的一些“小心思”。然而，这种看似无关紧要的设计可能比其他明码标价的订阅收费获利更多。对用户来说，一方面现在的 AI 编程工具日益强大，不仅可以快速检测出这种“别有用心”的设计，还可以支持从头设计一个完全自主的交易代码。另一方面，过分信任名声在外的“免费”开源库，可能会缴纳比普通订阅费更高的费用。如果希望对自己的交易返佣权益有所保障，在采用类似代码库之前还是需要对初始化参数进行检查。

此事件最终给所有用户敲响了警钟：在加密货币这个充满博弈的领域，对任何“免费午餐”保持必要的审视与警惕，仔细检查每一行“信任”的代码，或许才是保护自身权益最基础也最关键的防线——因为有时，最昂贵的成本，恰恰隐藏在“免费”的表象之下。信任，终究不应被如此轻易地编码成利润。

原文链接