CCXT, công cụ định lượng mã hóa nổi tiếng, dính vào bê bối "thu hoa hồng qua mã nguồn", ẩn chứa âm mưu thu phí hoa hồng sau lớp vỏ miễn phí
Tuyển chọn TechFlowTuyển chọn TechFlow
CCXT, công cụ định lượng mã hóa nổi tiếng, dính vào bê bối "thu hoa hồng qua mã nguồn", ẩn chứa âm mưu thu phí hoa hồng sau lớp vỏ miễn phí
Đôi khi, chi phí đắt đỏ nhất lại ẩn mình dưới vẻ ngoài "miễn phí".
Chuyên sâu báo cáo Web3Tác giả: Frank, PANews
Gần đây, thư viện giao dịch định lượng mã nguồn mở nổi tiếng nhất trong lĩnh vực tiền mã hóa CCXT đã bị phanh phui việc giấu kín một cơ chế đặc biệt trong mã nguồn cốt lõi của nó: thông qua việc lập trình cứng ID hoa hồng hoàn lại, phần mềm này âm thầm chiếm đoạt khoản hoàn phí giao dịch mà lẽ ra thuộc về người dùng, trong khi người dùng không hề hay biết.
Phát hiện này như hòn đá ném xuống mặt hồ, không chỉ vén bức màn mô hình kinh doanh ẩn giấu đằng sau lớp vỏ "mã nguồn mở", mà còn khiến vô số nhà phát triển và đội ngũ giao dịch từng dựa vào sự tiện lợi "miễn phí" của nó phải bừng tỉnh nhận ra rằng, nền tảng niềm tin họ đặt cậy có thể đã bị đánh đổi bằng một cái giá đắt đỏ.
Hơn 36.000 sao trên Github, bộ mã nguồn mở phổ biến nhất ngành tiền mã hóa
CCXT (CryptoCurrency eXchange Trading Library) là một thư viện phần mềm mã nguồn mở được ưa chuộng rộng rãi trong lĩnh vực giao dịch tiền mã hóa, chức năng chính là cung cấp một giao diện thống nhất cho các nhà phát triển, trader và các nhà phân tích tài chính để kết nối và vận hành trên nhiều sàn giao dịch tiền mã hóa toàn cầu. Dự án CCXT do nhà phát triển người Nga Igor Kroitor khởi xướng, bắt đầu từ năm 2016, thư viện này hỗ trợ nhiều ngôn ngữ lập trình như JavaScript, Python, PHP, C# và Go, điều này làm tăng đáng kể tính ứng dụng và mức độ phổ biến trong các môi trường phát triển khác nhau.
Thông qua việc triển khai công cụ mã nguồn mở CCXT, người dùng có thể phát triển nhiều chức năng liên quan đến giao dịch tiền mã hóa như phân tích thị trường, xây dựng chỉ báo, giao dịch thuật toán, backtest chiến lược và đặt lệnh. Có thể nói CCXT giống như một phiên bản đơn giản hóa và miễn phí của Tradingview. Tính đến nay, CCXT hỗ trợ hơn 100 sàn giao dịch tiền mã hóa, bao gồm Binance, OKX, Coinbase, Bybit, Bitget – gần như tất cả các sàn giao dịch chính đều có thể kết nối trực tiếp thông qua CCXT để đáp ứng nhu cầu giao dịch.
Sự tiện lợi của hình thức mã nguồn mở này đã giúp CCXT nhanh chóng trở thành công cụ phổ biến nhất đối với các đội ngũ giao dịch chuyên nghiệp như giao dịch định lượng và giao dịch theo chiến lược. Trên Github, CCXT có hơn 36.000 sao, thậm chí còn nhiều hơn dự án mã nguồn mở nổi tiếng trong lĩnh vực tài chính QuantLib. Theo báo cáo năm 2025 của công ty an ninh JFrog, tổng lượt tải CCXT trên trình quản lý gói chính thức của Python (PyPI) đã vượt quá 93 triệu lần. Con số khổng lồ này phản ánh hàng chục ngàn nhà giao dịch định lượng và đội ngũ phát triển trên toàn thế giới đang sử dụng CCXT. Năm 2024, CCXT đứng thứ 28 trên Github và được chọn vào danh sách các dự án Python phổ biến nhất năm.
Cơ chế rút hoa hồng ẩn, lập trình cứng Broker ID, có thể thu lợi hàng chục triệu USD
Nhưng đằng sau sự đánh giá cao, CCXT lại có những toan tính kinh doanh ít người biết đến.
Ngày 27 tháng 5, blogger @sunlc_crypto tiết lộ trên mạng xã hội rằng khi sử dụng khung CCXT, anh phát hiện khoản hoàn phí giao dịch có sự bất thường lớn. Sau đó, anh tìm thấy trong mã nguồn của CCXT tại nhiều sàn giao dịch rằng CCXT đã thêm vào ID đại lý (broker id) của chính mình, nghĩa là thiết lập trước tài khoản hoàn hoa hồng tại các sàn này, dẫn đến việc nếu người dùng không biết hoặc không sửa đổi thì phần lớn khoản hoàn phí sẽ bị rút đi. @sunlc_crypto cho biết riêng tại ba sàn Hyperliquid, Kucoin, Bybit, anh đã bị mất khoảng 15.000 USD trong hai tháng. Ước tính theo tỷ lệ này, CCXT có thể đã thu lợi từ phương thức này hơn 10 triệu, thậm chí lên tới hàng trăm triệu USD dưới dạng hoa hồng hoàn lại.
PANews kiểm tra mã nguồn mở của CCXT và phát hiện các bộ thích nghi (adapter) dành cho Python tại nhiều sàn như OKX, KuCoin, Hyperliquid, Bitget, Binance thực sự chứa brokerId mặc định.
Nhìn chung, CCXT thực sự đã thiết lập sẵn tham số brokerId mặc định trong bộ thích nghi của nhiều sàn giao dịch chính. Hầu hết các tham số này tồn tại dưới dạng lập trình cứng (hard code). Khi người dùng sử dụng CCXT để đặt lệnh mà không chủ động thiết lập hoặc thay đổi tùy chọn liên quan, brokerId mặc định này sẽ được gửi cùng yêu cầu, chuyển khoản hoàn phí tiềm năng sang tài khoản do CCXT cung cấp. Tuy nhiên, điểm này không được CCXT nêu bật rõ ràng trong tài liệu hướng dẫn chính thức.
Hiện chưa ai biết chính xác đội ngũ CCXT thu được bao nhiêu lợi nhuận từ cách thức này, bởi phần lớn là các sàn tập trung. PANews đã cố gắng tìm địa chỉ hoàn hoa hồng trong mã nguồn của Hyperliquid, nhưng vì địa chỉ cụ thể không được viết rõ trong mã mà sử dụng giao diện nội bộ, nên cũng không thể tìm được bằng chứng trực tiếp nhất.
Từ “tính phí” đến “miễn phí”, từ “giới thiệu lựa chọn” đến “lập trình cứng ẩn giấu”
Xem lại lịch sử phát triển của CCXT, PANews phát hiện thao tác này có thể bắt nguồn từ năm 2018. Ban đầu, CCXT từng có dịch vụ đăng ký phiên bản Pro với mức giá từ 29 USD/tháng. Sau đó, CCXT chuyển hoàn toàn sang miễn phí. Năm 2018, một người dùng trên Github đề xuất thêm ID giới thiệu có thể lựa chọn để hỗ trợ CCXT, và người duy trì chính kroitor đã hoan nghênh ý kiến này, đồng thời cập nhật mã tương ứng. Tuy nhiên, theo đề xuất ban đầu, mục đích chỉ nhằm thưởng cho việc giới thiệu đăng ký, và là tùy chọn – người dùng có thể chọn điền ID của CCXT hoặc không.
Nhưng dường như đây đã trở thành bước khởi đầu cho mô hình kiếm lời của CCXT. Về sau, rõ ràng người duy trì chính đã thêm logic này vào mã của hầu hết các sàn giao dịch lớn, cách thức lập trình lại rất tinh vi khiến đa số người dùng khó phát hiện. Cho đến nay, ngoài @sunlc_crypto lên tiếng chất vấn, trên mạng gần như không có thảo luận nào về thiết kế mã này.
Dĩ nhiên, CCXT dường như đã sớm dự đoán hiện tượng này rồi sẽ bị phanh phui, vì vậy trong tuyên bố miễn trừ trách nhiệm của CCXT có câu: «API proxy có nghĩa là CCXT nhận được tiền hoàn lại từ chương trình API proxy của các sàn giao dịch, và nó là đại lý API chính thức của nhiều sàn», thực tế đây là cách ngầm thông báo cho người dùng về phương thức kiếm lời này.
Khi @sunlc_crypto đưa vấn đề này ra cộng đồng, anh nhận được sự ủng hộ từ nhiều người dùng. Tuy nhiên, trong phần bình luận cũng xuất hiện nhiều ý kiến chỉ trích, có người cho rằng với tư cách là một trader định lượng giỏi, chẳng đáng để quan tâm đến khoản hoàn phí nhỏ này. Một số khác cho rằng vì là mã nguồn mở, nếu người dùng không phát hiện và chỉnh sửa thiết lập thì đó là lỗi của họ, CCXT không sai. Tuy nhiên, xét đến mức độ phổ biến và uy tín rộng rãi của CCXT, những "toan tính tinh vi" trong mã ẩn giấu kiểu này quả thực đã vi phạm niềm tin của cộng đồng đối với dự án.
Sau khi sự việc bị phanh phui, PANews nhận thấy mã CCXT vẫn duy trì tần suất cập nhật mỗi ngày, nhưng tính đến ngày 29 tháng 5, vẫn chưa sửa đổi đoạn mã brokerId lập trình cứng ẩn giấu mà cộng đồng phản ánh. Đội ngũ CCXT cũng chưa đưa ra bất kỳ phản hồi nào trên mạng xã hội hay Github.
Tất nhiên, so với một số dự án mã nguồn mở giấu cửa hậu đe dọa trực tiếp đến tài sản người dùng, việc mặc định thu hoa hồng hoàn trả của CCXT thậm chí không thể coi là lỗi (bug), mà chỉ là "toan tính nhỏ" trong thiết kế của nhà phát triển. Tuy nhiên, những toan tính tưởng chừng vô hại này có thể mang lại lợi nhuận còn lớn hơn cả các gói đăng ký rõ giá. Với người dùng, một mặt, các công cụ lập trình AI hiện nay ngày càng mạnh, không chỉ có thể nhanh chóng phát hiện những thiết kế "có dụng ý" như vậy, mà còn hỗ trợ xây dựng hoàn toàn độc lập một bộ mã giao dịch riêng. Mặt khác, việc quá tin tưởng vào các thư viện mã nguồn mở "miễn phí" nổi tiếng có thể khiến người dùng phải trả phí cao hơn cả phí đăng ký thông thường. Nếu muốn bảo vệ quyền lợi hoàn phí giao dịch của bản thân, người dùng cần thực hiện thao tác thiết lập tham số ban đầu trước khi sử dụng các thư viện mã tương tự.
Sự kiện này cuối cùng đã gióng lên hồi chuông cảnh tỉnh cho mọi người dùng: trong lĩnh vực đầy rẫy sự đấu tranh như tiền mã hóa, luôn giữ thái độ xem xét và cảnh giác cần thiết trước mọi "bữa ăn miễn phí", kiểm tra kỹ từng dòng mã được gán nhãn "niềm tin", có lẽ mới là hàng rào cơ bản và then chốt nhất để bảo vệ quyền lợi bản thân – bởi đôi khi, chi phí đắt đỏ nhất lại chính là ẩn sâu dưới lớp vỏ "miễn phí". Niềm tin, rốt cuộc, không nên bị dễ dàng mã hóa thành lợi nhuận.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
PANews
