作者：Frank，PANews

近期，加密貨幣領域最負盛名的開源量化交易庫CCXT被爆出其核心代碼中暗藏玄機：透過硬編碼預設返傭ID，該軟體在用戶不知情的情況下，悄然將本應屬於用戶的交易所手續費返傭收入囊中。

這項爆料猶如投石入湖，不僅揭示了開源光環下的另一種隱密商業模式，更讓無數依賴其「免費」便利的開發者、交易團隊驚覺，信任的基石下，可能早已埋下了昂貴的代價。

Github上超3.6萬星標，最普及的加密開源程式碼

CCXT (CryptoCurrency eXchange Trading Library) 是一個在加密貨幣交易領域廣受歡迎的開源軟體庫，其核心功能是為開發者、交易者和金融分析師提供一個統一的接口，用以連接並操作全球範圍內的眾多加密貨幣交易所。 CCXT專案由俄羅斯開發者Igor Kroitor 發起，最早可追溯至2016 年，該程式庫支援多種程式語言，包括JavaScript、Python、PHP、C# 和Go，大大拓寬了其在不同開發環境中的適用性與採納度。

透過部署CCXT開源工具，使用者可以進行市場分析、指標開發、演算法交易、策略回測及下單等多種與加密貨幣交易相關的功能開發，可以說CCXT相當於一個簡化版且免費的Tradingview。截至目前，CCXT支援的加密貨幣交易所超過100家，包括幣安、OKX、Coinbase、Bybit、Bitget等幾乎所有主流交易所都能透過直接存取的方式透過CCXT滿足交易需求。

這種便利的開源方式也讓CCXT迅速成為量化交易、策略交易等專業交易團隊最普及的工具。在Github上，CCXT擁有超過3.6萬個星標，比金融領域的知名開源專案QuantLib還要多。根據安全公司JFrog 2025年報告，CCXT 在Python官方套件管理器PyPI上的累計下載量已超過9,300萬次如此龐大的下載次數反映出全球範圍內有成千上萬的量化交易者和開發團隊在使用CCXT。 2024年CCXT在Github上排名第28，並入選了2024年最受歡迎的Python項目。

隱密的抽傭機制，硬編碼Broker ID，或得千萬美元隱形收益

但在廣受好評的背後，CCXT卻有著不為人知的生意經。

5月27日，@sunlc_crypto部落客在社群媒體曝光稱，自己使用CCXT框架發現返傭的手續費有較大的異常，隨後在CCXT的多個交易所的源代碼中發現，CCXT在其中加上了自己的broker id，也就是預設了這些交易所的返傭賬戶，導致用戶如果不知，不修改的情況下會被抽走大部分的返傭。 CCXT稱自己在hyperliquid、Kucoin、Bybit等三個交易所兩個月就被偷走約1.5萬美元。以此預估，CCXT透過這種方式可能已經獲利超過千萬甚至上億美元的返傭。

PANews透過查看CCXT的開源程式碼發現，在OKX、KuCoin、Hyperliquid、Bitget、Binance等多個交易所的Python適配器的確包含了預設的brokerId。

總的來看CCXT的確在多個主流交易所的適配器中預置了預設的brokerId參數，這些參數大多以硬編碼的形式存在。當使用者直接使用CCXT下單且未明確設定或修改相關的選項是，這些預設的broker Id就會隨著請求一同被發送，將潛在的手續費返傭歸於CCXT提供的帳戶。但在CCXT的官方說明當中，並未突顯這一點。

透過這種方式CCXT團隊具體獲得了多少收益目前仍不得而知，畢竟多數是中心化交易所。 PANews試圖從Hyperliquid的源代碼中找到返傭地址，但因其具體的地址未編寫在代碼明文當中，而是採用內部接口的方式，因而也沒法找到最直接的證明。

從“收費”到“免費”，從“可選推薦”到“隱藏硬編”的生意經

翻閱CCXT的開發歷史，PANews發現這種操作可能最早起源於2018年。早期的CCXT有這一個Pro版的訂閱服務，每月29美元起。後來CCXT徹底轉為免費，2018年，一位用戶在Github上提出，建議添加可選的推薦ID來支持CCXT，主要的維護者kroitor對此表示歡迎，並在更新中添加了這些代碼。不過從倡議者的建議來看，這個建議主要是針對推薦註冊的獎勵，並且提供一個可選的選項，用戶可以選擇填寫CCXT或不填寫。

但這似乎成為啟發CCXT獲利的起點，後期顯然主要的維護者將多數的主流交易所程式碼當中目前都添加了這種邏輯，加上編寫方式隱秘，多數用戶很難發現。截至目前，除了@sunlc_crypto作為吹哨人提出質疑之外，網路上幾乎沒有關於這項程式碼設計的討論。

當然，CCXT似乎也早已預料到這一現象遲早會被人揭露，因此在CCXT的免責聲明中，有著這樣一句話：“API 代理意味著CCXT 的資金來自交易所的API 代理計劃的回扣，並且它是許多交易所的官方API 代理”，實際上相當於隱晦的向用戶告知了這種晦獲利方式。

當@sunlc_crypto向社群提出這個問題後，得到了不少用戶的支持。但也在其評論區內出現了大量質疑聲，有人質疑稱作為一個實力強勁的量化交易員，不應該在意這些手續費返傭。也有人表示，既然是開源程式碼，使用時沒能發現這些設定並作出修改是自己的問題，CCXT並不存在問題。不過，結合CCXT的大範圍採用的現狀和廣受關注的聲譽來看，這種隱密的編碼「小心思」的確有違社區對其的信任。

在事件曝光後，PANews注意到CCXT代碼仍保持每天更新的頻率，但截至5月29日並未對社區提出的這種隱密硬編brokerId代碼進行修改。 CCXT的官方也沒有在社群媒體和Github上回應此事。

當然，相較於一些開源專案暗藏後門，直接威脅用戶本金安全的情況相比。 CCXT的預設返傭收取甚至不算Bug，只能是說開發者在設計上的一些「小心思」。然而，這種看似無關緊要的小心思可能比其他明碼標價的訂閱收費獲利更多。對使用者來說，一方面現在的AI程式工具日益強大，不僅可以快速偵測出這種「別有用心」的設計，也可以支援從頭設計一個完全自主的交易代碼。另一方面，過度信任名聲在外的「免費」開源庫，可能反而繳納比一般訂閱費更高的費用。如果希望對自己的交易返傭權益有所保障，在採用類似的程式碼庫之前還是要進行初始化參數的操作。

此事件最終給所有用戶敲響了警鐘：在加密貨幣這個充滿博弈的領域，對任何「免費午餐」保持必要的審視與警惕，仔細檢查每一行「信任」的代碼，或許才是保護自身權益最基礎也最關鍵的防線——因為有時，最昂貴的成本，恰恰隱藏在「免費」的表象之下。信任，終究不應如此輕易地編碼成利潤。