В последнее время эта тема стала вирусной, широко обсуждается: известная открытая библиотека для квантовой торговли ccxt была обнаружена с скрытым механизмом возврата комиссий. Проще говоря, когда пользователь размещает ордера через ccxt, он получает вознаграждение от биржи, но команда ccxt тайно забирает эти комиссионные себе. Как только эта новость всплыла, вся сообщество взорвалось.

Насколько популярен проект ccxt? На GitHub у него более 36 тысяч звезд, а в официальном менеджере пакетов Python его скачали более 93 миллионов раз. Практически все команды по квантовой торговле по всему миру используют этот инструмент. Он поддерживает более 100 бирж, что по сути является бесплатным Tradingview с очень мощным функционалом. Этот проект был запущен российским разработчиком Игорем Кройтором в 2016 году, он поддерживает несколько языков программирования: JavaScript, Python, PHP, C# и Go — неудивительно, что он так популярен.

Но проблема как раз в этом «бесплатном» аспекте. Некоторые пользователи заметили аномальные суммы возвратов, и при внимательном изучении исходного кода ccxt обнаружили, что в адаптерах для некоторых популярных бирж жестко закодирован свой brokerId. То есть, если пользователь не изменит этот параметр вручную, то все комиссионные от биржи автоматически уходят на счет команды ccxt. Кто-то подсчитал, что за два месяца было «отобрано» около 15 тысяч долларов, а при таком темпе можно предположить, что за это время ccxt уже заработал миллионы или даже миллиарды долларов на этом.

Еще более болезненно то, что эта практика восходит к 2018 году. Тогда у ccxt был платный Pro-версия, позже проект полностью перешел на бесплатное распространение. В 2018 году один из пользователей предложил добавить опциональный ID реферала для поддержки проекта, изначально идея заключалась в том, чтобы пользователь сам выбирал, но затем команда ccxt превратила эту «опцию» в скрытую жесткую кодировку, и в коде нескольких популярных бирж появилась эта логика.

В отказе от ответственности ccxt действительно упоминалась фраза, что API-агентство средств осуществляется за счет комиссионных биржи. Но эта фраза была настолько скрыта, что большинство пользователей даже не заметили. После того, как об этом узнали, команда ccxt не дала никакого публичного комментария, код не изменился, и они продолжили ежедневно обновлять библиотеку, как ни в чем не бывало.

Эта ситуация вызвала интересные обсуждения. Кто-то говорит, что раз это open-source, пользователи должны сами проверять код. Другие сомневаются: такой известный проект, как он может так поступать — это противоречит духу open-source и доверия пользователей. Но в любом случае, эта история стала тревожным сигналом для всех: так называемые «бесплатные» инструменты могут скрывать гораздо более высокие скрытые издержки, чем подписка или платные версии. В мире криптовалют, где идет постоянная борьба, за любой «бесплатный обед» нужно держать ухо востро и тщательно проверять каждую строку кода. Потому что иногда самая высокая цена скрыта именно за маской «бесплатно».