Recentemente, uma questão tem dominado as redes, um conhecido projeto de código aberto para trading quantitativo, o ccxt, foi divulgado por esconder um mecanismo de comissão oculta no seu código. Em outras palavras, quando os usuários usam o ccxt para fazer ordens, as comissões de retorno das exchanges que poderiam receber são secretamente retidas pela equipe do ccxt. Assim que essa informação veio à tona, toda a comunidade entrou em choque.

Quão popular é esse projeto ccxt? Mais de 36 mil estrelas no Github, e mais de 93 milhões de downloads na gestão oficial de pacotes do Python. Praticamente todas as equipes de trading quantitativo ao redor do mundo usam essa ferramenta. Ela suporta mais de 100 exchanges, equivalente a um Tradingview gratuito, com funcionalidades extremamente poderosas. O projeto foi iniciado em 2016 pelo desenvolvedor russo Igor Kroitor, suportando várias linguagens de programação como JavaScript, Python, PHP, C# e Go, não é de admirar sua popularidade.

Mas o problema está justamente nesse 'gratuito'. Alguns usuários descobriram valores de comissão anormais, e ao examinar o código-fonte do ccxt, perceberam que, em adaptadores de algumas exchanges principais, o ccxt codificou de forma fixa seu próprio brokerId. Ou seja, se o usuário não modificar esse parâmetro ativamente, as comissões de retorno das exchanges vão direto para a conta da equipe do ccxt. Uma pessoa fez uma estatística: em apenas dois meses, cerca de 15 mil dólares foram 'retirados' dessa forma. Com essa velocidade, o ccxt pode já ter lucrado milhões ou até bilhões de dólares por esse método.

O mais doloroso é que essa prática remonta a 2018. Na época, o ccxt tinha uma versão Pro paga, que depois foi totalmente tornada gratuita. Em 2018, um usuário sugeriu adicionar um ID de recomendação opcional para apoiar o projeto. A ideia inicial era permitir que o usuário escolhesse, mas posteriormente a equipe do ccxt transformou essa 'opção' em uma 'codificação oculta', incluindo essa lógica no código de várias exchanges principais.

No aviso de isenção de responsabilidade do ccxt, de fato, há uma menção de que os fundos de API proxy vêm do programa de comissão das exchanges. Mas essa frase está tão escondida que a maioria dos usuários nem percebe. Quando a questão foi revelada, a equipe do ccxt não fez nenhuma resposta pública, o código não foi alterado, apenas continuaram atualizando normalmente todos os dias.

A discussão gerada por esse episódio é bastante interessante. Alguns dizem que, por ser código aberto, os usuários deveriam verificar por si próprios. Outros questionam: um projeto tão conhecido, fazer algo assim viola o espírito do open source e a confiança dos usuários. Mas, independentemente, esse caso serve como um alerta: ferramentas 'gratuitas' podem esconder custos muito maiores do que uma assinatura. No mundo de criptomoedas, cheio de jogos de poder, é preciso estar atento a qualquer 'almoço grátis' e examinar cuidadosamente cada linha de código. Porque, às vezes, o custo mais alto está justamente escondido sob a aparência de 'gratuito'.