最近被一件事刷屏，某个广为人知的开源量化交易库ccxt被曝在代码里暗藏了返佣机制。说白了就是，用户用ccxt下单，本来能拿到的交易所返佣，被ccxt团队悄悄收走了。这事儿一爆出来，整个社区都炸了。

ccxt这个项目有多火呢？Github上超过3.6万个星标，Python官方包管理器上累计下载量超9300万次。基本上全球的量化交易团队都在用这个工具。它支持100多家交易所，相当于一个免费的Tradingview，功能强大到不行。俄罗斯开发者Igor Kroitor在2016年发起的这个项目，支持JavaScript、Python、PHP、C#和Go多种编程语言，难怪这么受欢迎。

但问题就出在这个'免费'上面。有用户发现自己的返佣金额异常，仔细看了ccxt的源代码才发现，在某些主流交易所的适配器里，ccxt硬编码了自己的brokerId。也就是说，用户如果不主动修改这个参数，交易所返佣就直接进了ccxt团队的账户。有人统计，仅在两个月内就被'抽走'了1.5万美元，按这个速度推算，ccxt可能已经通过这种方式获利千万甚至上亿美元。

更扎心的是，这种操作最早可以追溯到2018年。那时候ccxt还有付费的Pro版本，后来转向完全免费。2018年有个用户建议添加可选的推荐ID来支持项目，原本的想法是让用户自主选择，但后来ccxt团队把这个'可选'变成了'隐蔽的硬编码'，在多个主流交易所的代码里都加上了这套逻辑。

ccxt的免责声明里确实提过一句话，说API代理资金来自交易所的返佣计划。但这句话藏得那么深，大多数用户根本注意不到。等到有人揭露这事后，ccxt团队没有任何公开回应，代码也没改，只是继续每天照常更新。

这事儿引发的讨论很有意思。有人说既然是开源代码，使用者应该自己检查。也有人质疑，一个这么知名的项目，这样做确实有违开源精神和用户信任。但不管怎么说，这件事给所有人敲了个警钟：所谓的'免费'工具，背后可能藏着比订阅费更高的成本。在加密这个充满博弈的领域，对任何'免费午餐'都得保持警惕，仔细检查每一行代码。因为有时候，最贵的代价，恰恰就隐藏在'免费'的幌子下面。