L'outil de quantification pour le chiffrement CCXT au cœur d'un scandale de « commission prélevée dans le code », révélant une pratique commerciale cachée derrière la gratuité
TechFlow SélectionTechFlow Sélection
L'outil de quantification pour le chiffrement CCXT au cœur d'un scandale de « commission prélevée dans le code », révélant une pratique commerciale cachée derrière la gratuité
Parfois, le coût le plus élevé se cache précisément sous l'apparence de « gratuité ».
Dédié à des analyses Web3 approfondiesRédaction : Frank, PANews
Récemment, la bibliothèque open source CCXT, l'une des plus prestigieuses du domaine des cryptomonnaies pour le trading quantitatif, a été démasquée : son code principal contiendrait un mécanisme dissimulé. En préprogrammant des identifiants de rétrocommission par codage en dur, ce logiciel percevrait en secret les frais de transaction reversés normalement aux utilisateurs, et ce sans leur connaissance.
Cette révélation a fait l'effet d'un caillou lancé dans une mare. Elle ne met pas seulement en lumière un modèle économique caché sous le halo de l’open source, mais révèle aussi à des développeurs et équipes de trading, nombreux à s’appuyer sur cette « gratuité » pratique, que le fondement de la confiance pourrait bien cacher un coût exorbitant.
Plus de 36 000 étoiles sur Github, le code open source le plus répandu dans les cryptos
CCXT (CryptoCurrency eXchange Trading Library) est une bibliothèque open source très populaire dans le domaine du trading des cryptomonnaies. Son objectif principal est de fournir aux développeurs, traders et analystes financiers une interface unique pour se connecter et interagir avec un grand nombre d’échanges de cryptomonnaies à travers le monde. Le projet CCXT a été lancé par le développeur russe Igor Kroitor et remonte à 2016. La bibliothèque supporte plusieurs langages de programmation tels que JavaScript, Python, PHP, C# et Go, ce qui accroît considérablement sa polyvalence et son adoption dans divers environnements de développement.
Grâce à l’utilisation des outils open source CCXT, les utilisateurs peuvent développer diverses fonctionnalités liées au trading de cryptomonnaies telles que l’analyse de marché, le développement d’indicateurs, le trading algorithmique, le backtesting de stratégies ou encore la passation d’ordres. En ce sens, CCXT équivaut presque à une version simplifiée et gratuite de TradingView. À ce jour, CCXT prend en charge plus de 100 exchanges de cryptomonnaies, incluant Binance, OKX, Coinbase, Bybit, Bitget, et pratiquement tous les principaux plateformes, permettant ainsi aux utilisateurs de répondre à leurs besoins de trading via une simple intégration directe.
Cette facilité offerte par l’open source a permis à CCXT de devenir rapidement l’outil le plus répandu parmi les équipes professionnelles spécialisées dans le trading quantitatif ou stratégique. Sur Github, CCXT cumule plus de 36 000 étoiles, dépassant même des projets open source renommés dans le secteur financier comme QuantLib. Selon un rapport de la société de sécurité JFrog publié en 2025, le nombre total de téléchargements de CCXT sur le gestionnaire officiel de paquets Python (PyPI) dépasse les 93 millions. Un tel volume illustre clairement que des dizaines de milliers de traders quantitatifs et d’équipes de développement à travers le monde utilisent CCXT. En 2024, CCXT a occupé la 28e place sur Github et a été sélectionné parmi les projets Python les plus populaires de l’année.
Mécanisme occulte de prélèvement de commissions : Broker ID en dur, bénéfices invisibles pouvant atteindre des dizaines de millions de dollars
Mais derrière cet engouement généralisé, CCXT abrite une pratique commerciale méconnue.
Le 27 mai, le blogueur @sunlc_crypto a révélé sur les réseaux sociaux avoir constaté une anomalie importante concernant les commissions reversées lors de l’utilisation du framework CCXT. Il a ensuite découvert, dans le code source de CCXT relatif à plusieurs exchanges, que ce dernier avait intégré son propre broker ID, configurant ainsi par défaut les comptes de rétrocommission de ces plateformes. Par conséquent, si l’utilisateur n’est pas informé ni ne modifie ces paramètres, une grande partie des commissions lui revenant normalement lui est retirée. Selon ses estimations, rien que sur Hyperliquid, Kucoin et Bybit, il aurait perdu environ 15 000 dollars en deux mois. À cette échelle, les gains réalisés par CCXT grâce à ce mécanisme pourraient dépasser plusieurs dizaines, voire centaines de millions de dollars.
PANews a examiné le code open source de CCXT et confirmé que les adaptateurs Python de plusieurs exchanges majeurs — notamment OKX, KuCoin, Hyperliquid, Bitget et Binance — contiennent effectivement un brokerId par défaut.
En résumé, CCXT a effectivement préconfiguré en dur des paramètres brokerId par défaut dans les adaptateurs de nombreux exchanges populaires. Lorsque les utilisateurs placent des ordres via CCXT sans modifier explicitement ces options, ces brokerIds par défaut sont automatiquement envoyés avec les requêtes, redirigeant ainsi les commissions potentielles vers les comptes affiliés à CCXT. Or, cette pratique n’est pas clairement mentionnée dans la documentation officielle de CCXT.
Le montant exact des revenus générés par CCXT grâce à ce système reste inconnu, notamment parce que la plupart des exchanges concernés sont centralisés. PANews a tenté de retrouver l’adresse de rétrocommission dans le code source d’Hyperliquid, mais celle-ci n’étant pas inscrite en clair dans le code mais gérée via une interface interne, aucune preuve directe n’a pu être obtenue.
Du « payant » au « gratuit », de la « recommandation optionnelle » au « codage caché en dur » : une stratégie commerciale progressive
En consultant l’historique de développement de CCXT, PANews a constaté que cette pratique pourrait remonter à 2018. Initialement, CCXT proposait un service payant appelé « Pro », facturé à partir de 29 dollars par mois. Par la suite, CCXT est devenu entièrement gratuit. En 2018, un utilisateur a suggéré sur Github d’ajouter un ID de recommandation optionnel afin de soutenir financièrement CCXT. Le principal mainteneur, kroitor, a accueilli favorablement cette idée et a intégré progressivement ces lignes de code. D’après les intentions initiales de l’auteur de la suggestion, il s’agissait principalement d’un programme de parrainage destiné aux nouveaux inscrits, avec une option facultative : l’utilisateur pouvait choisir ou non de saisir l’ID de CCXT.
Toutefois, cela semble avoir marqué le point de départ d’une stratégie monétaire pour CCXT. Par la suite, les principaux mainteneurs ont progressivement ajouté ce type de logique dans les codes des exchanges les plus populaires. Étant donné que ces ajouts sont réalisés de manière discrète, la majorité des utilisateurs peinent à les détecter. À ce jour, hormis la mise en cause publique par @sunlc_crypto, il existe quasiment aucune discussion en ligne sur cette conception particulière du code.
Bien entendu, CCXT semblait anticiper depuis longtemps que ce dispositif finirait par être découvert. Dans sa clause de non-responsabilité, on peut lire : « API proxy signifie que CCXT tire des revenus des programmes de commissions reversées par les exchanges via leurs API, et qu’il est officiellement partenaire API de nombreux exchanges ». Cette phrase constitue en réalité une indication implicite du mode de monétisation utilisé.
Lorsque @sunlc_crypto a soulevé cette question auprès de la communauté, il a reçu un certain soutien. Toutefois, de nombreuses critiques sont apparues dans les commentaires : certains estiment qu’un trader quantitatif expérimenté ne devrait pas se soucier de ces petites commissions. D’autres affirment que, puisqu’il s’agit d’un code open source, le fait de ne pas avoir détecté ces paramètres ou de ne pas les avoir modifiés relève de la responsabilité de l’utilisateur, et que CCXT n’a donc rien à se reprocher. Néanmoins, compte tenu de l’adoption massive de CCXT et de sa réputation élevée, cette subtile manipulation discrète dans le code heurte clairement la confiance que la communauté lui accordait.
Après l’exposition de l’affaire, PANews a noté que le code CCXT continuait d’être mis à jour quotidiennement, mais qu’au 29 mai, aucune modification n’avait été apportée concernant le brokerId codé en dur et critiqué par la communauté. Officiellement, ni sur les réseaux sociaux ni sur Github, CCXT n’a réagi à cette affaire.
Bien sûr, comparé à certains projets open source qui intègrent des portes dérobées menaçant directement la sécurité des fonds des utilisateurs, le prélèvement par défaut des commissions de rebates chez CCXT ne peut même pas être qualifié de bug. On ne peut que parler d’un « petit calcul » de la part des développeurs. Pourtant, ce genre de détail apparemment anodin pourrait générer davantage de profits que des modèles d’abonnement clairement tarifés. Pour les utilisateurs, d’un côté, les outils de programmation assistée par l’intelligence artificielle deviennent de plus en plus performants, capables non seulement de détecter rapidement ce type de conception malveillante, mais aussi de concevoir entièrement un code de trading autonome. De l’autre côté, trop compter sur des bibliothèques open source gratuites et célèbres pourrait finalement coûter bien plus cher qu’un simple abonnement. Pour protéger leurs droits aux commissions de trading, les utilisateurs doivent absolument vérifier et personnaliser les paramètres d’initialisation avant d’utiliser ce type de bibliothèque.
Cet incident sonne finalement comme un avertissement pour tous : dans l’univers du crypto, où tout repose sur la confrontation d’intérêts, garder un regard critique face à tout « repas gratuit » et examiner attentivement chaque ligne de code « fiable » pourrait bien être la première et la plus essentielle des défenses pour protéger ses propres intérêts — car parfois, le coût le plus élevé se cache précisément derrière l’apparence de la gratuité. La confiance, en fin de compte, ne devrait jamais être aussi facilement transformée en profit.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
PANews
