Belakangan ini menjadi perbincangan hangat, sebuah perpustakaan perdagangan kuantitatif open-source yang terkenal, ccxt, diduga menyembunyikan mekanisme cashback di dalam kode-nya. Singkatnya, ketika pengguna melakukan order dengan ccxt, cashback dari bursa yang seharusnya mereka terima, diam-diam disedot oleh tim ccxt. Setelah berita ini terungkap, seluruh komunitas langsung heboh.

Seberapa populer sebenarnya proyek ccxt ini? Di Github, mendapatkan lebih dari 36.000 bintang, dan di manajer paket resmi Python, total unduhan melebihi 93 juta kali. Hampir semua tim perdagangan kuantitatif di seluruh dunia menggunakan alat ini. Mendukung lebih dari 100 bursa, setara dengan Tradingview gratis, dengan fitur yang sangat lengkap. Proyek ini didirikan oleh pengembang Rusia, Igor Kroitor, pada tahun 2016, mendukung berbagai bahasa pemrograman seperti JavaScript, Python, PHP, C#, dan Go, tidak heran begitu populer.

Namun masalahnya terletak pada kata 'gratis' ini. Beberapa pengguna menemukan jumlah cashback mereka tidak wajar, setelah memeriksa kode sumber ccxt, mereka menemukan bahwa dalam adaptor beberapa bursa utama, ccxt menanamkan brokerId mereka sendiri secara keras. Artinya, jika pengguna tidak secara aktif mengubah parameter ini, cashback dari bursa langsung masuk ke akun tim ccxt. Ada yang menghitung, dalam dua bulan saja, sekitar 15.000 dolar AS disedot, dan jika diperkirakan dengan kecepatan ini, ccxt mungkin sudah meraup keuntungan puluhan juta bahkan ratusan juta dolar melalui metode ini.

Lebih menyakitkan lagi, operasi semacam ini sudah ada sejak 2018. Saat itu, ccxt masih memiliki versi Pro berbayar, kemudian beralih menjadi sepenuhnya gratis. Pada 2018, ada pengguna yang menyarankan menambahkan ID rekomendasi opsional untuk mendukung proyek, awalnya dimaksudkan agar pengguna bisa memilih sendiri, tetapi kemudian tim ccxt mengubah 'opsional' ini menjadi 'penanaman tersembunyi', dan menambahkan logika ini ke dalam kode beberapa bursa utama.

Dalam disclaimer ccxt memang pernah disebutkan bahwa dana dari API proxy berasal dari program cashback bursa. Tapi kalimat ini disembunyikan sangat dalam, sehingga kebanyakan pengguna tidak menyadarinya sama sekali. Setelah terungkap, tim ccxt tidak memberikan tanggapan resmi apa pun, kode tidak diubah, mereka hanya melanjutkan pembaruan harian seperti biasa.

Diskusi yang muncul sangat menarik. Ada yang berpendapat, karena ini open-source, pengguna harus memeriksa sendiri. Ada juga yang mempertanyakan, sebuah proyek yang begitu terkenal, melakukan hal seperti ini jelas bertentangan dengan semangat open-source dan kepercayaan pengguna. Tapi apapun itu, kejadian ini menjadi peringatan keras bagi semua orang: alat 'gratis' yang tampaknya tidak berbahaya, bisa jadi menyembunyikan biaya yang jauh lebih tinggi daripada biaya langganan. Di dunia kripto yang penuh dengan permainan dan pertarungan ini, kita harus waspada terhadap 'makan siang gratis', dan memeriksa setiap baris kode dengan saksama. Karena terkadang, harga termahal justru tersembunyi di balik kedok 'gratis'.