Últimamente una noticia ha estado en boca de todos, se ha descubierto que la conocida biblioteca de trading cuantitativo de código abierto ccxt oculta un mecanismo de reembolso en su código. En pocas palabras, cuando los usuarios realizan órdenes con ccxt, los reembolsos que deberían recibir de los exchanges en realidad son recaudados silenciosamente por el equipo de ccxt. Cuando esta noticia salió a la luz, toda la comunidad explotó.

¿Lo popular que es el proyecto ccxt? Tiene más de 36,000 estrellas en Github y más de 93 millones de descargas en el gestor de paquetes oficial de Python. Prácticamente, todos los equipos de trading cuantitativo en el mundo usan esta herramienta. Soporta más de 100 exchanges, es como un Tradingview gratuito, con funciones extremadamente potentes. Este proyecto fue iniciado en 2016 por el desarrollador ruso Igor Kroitor, y soporta múltiples lenguajes de programación como JavaScript, Python, PHP, C# y Go, por eso es tan popular.

Pero el problema está en esa 'gratuitidad'. Algunos usuarios descubrieron que sus reembolsos eran anómalos, y al revisar el código fuente de ccxt, encontraron que en los adaptadores de algunos exchanges principales, ccxt tenía codificado de forma fija su propio brokerId. Es decir, si el usuario no modifica activamente ese parámetro, los reembolsos de los exchanges van directamente a la cuenta del equipo de ccxt. Algunos cálculos muestran que en solo dos meses, se habrían 'extraído' unos 15,000 dólares, y a ese ritmo, ccxt podría haber obtenido millones o incluso miles de millones de dólares en beneficios mediante este método.

Lo más impactante es que esta operación se remonta a 2018. En ese entonces, ccxt tenía una versión Pro de pago, que luego se convirtió en completamente gratuita. En 2018, un usuario sugirió agregar un ID de recomendación opcional para apoyar el proyecto; la idea original era que los usuarios pudieran elegirlo libremente, pero luego el equipo de ccxt convirtió esa 'opcionalidad' en una 'codificación oculta', añadiendo esa lógica en el código de varios exchanges principales.

En la cláusula de exención de responsabilidad de ccxt, efectivamente se menciona que los fondos de la API proxy provienen del plan de reembolsos de los exchanges. Pero esa frase está tan escondida que la mayoría de los usuarios ni la notan. Cuando alguien reveló esto, el equipo de ccxt no hizo ninguna respuesta pública, no modificó el código, simplemente continuó actualizándolo como de costumbre.

Lo interesante de toda esta discusión es que algunos dicen que, dado que es código abierto, los usuarios deberían revisar por sí mismos. Otros cuestionan que un proyecto tan conocido, actuando así, viola el espíritu del código abierto y la confianza de los usuarios. Pero en cualquier caso, esto sirve como una advertencia para todos: las herramientas 'gratuitas' podrían esconder costos mucho mayores que una suscripción. En el mundo de las criptomonedas, lleno de juegos y estrategias, hay que ser cautelosos con cualquier 'almuerzo gratis' y revisar cuidadosamente cada línea de código. Porque a veces, el costo más alto se oculta justo detrás de la apariencia de 'gratuito'.