最近、ある出来事が話題をさらっている。広く知られるオープンソースの量化取引ライブラリccxtに、隠されたリベート仕組みが発覚したのだ。要するに、ユーザーがccxtを使って注文を出すと、本来得られるはずの取引所からのリベートが、ccxtチームによってこっそりと奪われていたということだ。このニュースが明るみに出ると、コミュニティ全体が騒然となった。

ccxtというプロジェクトはどれほど人気なのか？GitHub上で3.6万以上のスターを獲得し、Python公式パッケージマネージャーでのダウンロード数は9,300万回を超える。ほぼ世界中の量化取引チームがこのツールを使っている。100以上の取引所をサポートし、まるで無料のTradingviewのように、機能は非常に充実している。ロシアの開発者Igor Kroitorが2016年に立ち上げたこのプロジェクトは、JavaScript、Python、PHP、C#、Goなど複数のプログラミング言語に対応しており、その人気の高さもうなずける。

しかし、問題はこの「無料」という点にある。あるユーザーが自分のリベート金額に異常を見つけ、詳細にccxtのソースコードを調べたところ、いくつかの主要な取引所のアダプターにおいて、ccxtが自らのbrokerIdをハードコーディングしていることが判明した。つまり、ユーザーがこのパラメータを積極的に変更しなければ、取引所からのリベートはそのままccxtチームの口座に入る仕組みだ。統計によると、わずか2ヶ月で1万5千ドルが「吸い取られた」例もあり、このペースで推移すれば、ccxtは既に数千万、ひいては億単位の利益を得ている可能性もある。

さらに衝撃的なのは、この操作の起源が2018年に遡ることだ。当時、ccxtには有料のProバージョンも存在していたが、その後完全無料へと移行した。2018年にあるユーザーが、推奨IDをオプションとして追加できるよう提案したことがあった。最初はユーザーが自主的に選択できる仕組みを意図していたが、その後、ccxtチームはこの「オプション」を「隠されたハードコーディング」に変え、複数の主要取引所のコードにこのロジックを組み込んだ。

ccxtの免責事項には、「API代理資金は取引所のリベートプログラムから来ている」と一文があるが、その記述は非常に奥深く、多くのユーザーは気付かないままだ。これが暴露された後も、ccxtチームは公式なコメントを出さず、コードも修正せず、ただ日々のアップデートを続けている。

この件を巡る議論は非常に興味深い。ある人は、「オープンソースだから自己責任で確認すべきだ」と言うし、また別の人は、「これほど有名なプロジェクトが、こうした行為を行うのは、オープンソース精神やユーザーの信頼に反する」と批判する。いずれにせよ、この事件はすべての人に警鐘を鳴らしている。いわゆる「無料」のツールの裏には、サブスクリプション料以上のコストが潜んでいる可能性があるのだ。暗号資産の世界は常に駆け引きとリスクがつきまとうため、「無料のランチ」に対しても警戒心を持ち、コードの一行一行を注意深く確認すべきだ。なぜなら、最も高い代償は、しばしば「無料」の仮面の下に隠されているからだ。