Récemment, une affaire a fait le buzz, un célèbre bibliothèque open source de trading quantitatif, ccxt, a été révélée pour avoir dissimulé un mécanisme de commissionnement. En clair, lorsque les utilisateurs passent des ordres avec ccxt, la commission que la plateforme d’échange aurait normalement reversée leur est en réalité siphonnée discrètement par l’équipe de ccxt. Dès que cette information a été divulguée, toute la communauté a explosé.

À quel point le projet ccxt est-il populaire ? Plus de 36 000 étoiles sur Github, plus de 93 millions de téléchargements via le gestionnaire de paquets officiel de Python. Pratiquement toutes les équipes de trading quantitatif dans le monde utilisent cet outil. Il supporte plus de 100 échanges, ce qui revient à un Tradingview gratuit, avec des fonctionnalités extrêmement puissantes. Ce projet, lancé en 2016 par le développeur russe Igor Kroitor, supporte plusieurs langages de programmation : JavaScript, Python, PHP, C# et Go, pas étonnant qu’il soit si populaire.

Mais le problème réside dans cette notion de 'gratuit'. Certains utilisateurs ont constaté des montants de commissions inhabituels, et en examinant le code source de ccxt, ils ont découvert que dans certains adaptateurs pour des échanges majeurs, ccxt avait codé en dur son propre brokerId. Autrement dit, si l’utilisateur ne modifie pas volontairement ce paramètre, la commission de l’échange va directement dans le compte de l’équipe ccxt. Des statistiques montrent qu’en seulement deux mois, 15 000 dollars ont été 'aspirés', et à ce rythme, ccxt aurait pu tirer profit de cette méthode pour des millions, voire des milliards de dollars.

Ce qui est encore plus choquant, c’est que cette pratique remonte à 2018. À cette époque, ccxt proposait une version payante, Pro, avant de devenir totalement gratuite. En 2018, un utilisateur avait suggéré d’ajouter un ID de recommandation optionnel pour soutenir le projet. L’idée initiale était que l’utilisateur puisse choisir s’il voulait ou non cette option, mais par la suite, l’équipe de ccxt a transformé cette 'option' en une 'codification cachée', intégrée dans plusieurs codes d’échanges majeurs.

Dans la clause de non-responsabilité de ccxt, il est mentionné que l’API proxy est financée par le programme de commissions des échanges. Mais cette phrase est si bien dissimulée que la majorité des utilisateurs ne la remarque même pas. Après la révélation de cette affaire, l’équipe de ccxt n’a pas fait de déclaration publique, n’a pas modifié le code, et a simplement continué à faire ses mises à jour quotidiennes.

Ce débat est très intéressant. Certains disent que puisque c’est open source, l’utilisateur doit vérifier lui-même. D’autres critiquent qu’un projet aussi connu ne devrait pas agir ainsi, ce qui va à l’encontre de l’esprit open source et de la confiance des utilisateurs. Quoi qu’il en soit, cette affaire sonne comme un avertissement : un outil 'gratuit' pourrait cacher des coûts bien plus élevés que des abonnements. Dans le domaine de la cryptomonnaie, où la compétition est féroce, il faut rester vigilant face à tout 'déjeuner gratuit', et examiner chaque ligne de code attentivement. Car parfois, le coût le plus élevé se cache derrière le masque du 'gratuit'.