API量化交易開源庫CCXT盜取用戶邀請返傭手續費

API交易開源庫CCXT替換邀請人ID，盜取用戶邀請返傭手續費，其實這個問題一直存在，只是沒人注意而已，上次被爆出時是2022年4月，同時我把解決方案寫在了帖子結尾。

開源並不意味着安全，因爲99%的開發者不會去review開源庫的源代碼，類似於@sunlc_crypto開發者的只是少數。幣圈歷史上因爲開源庫被投毒/供應鏈攻擊而導致的安全事故並不少。

1. 2024年4月：@evilcos 曾爆出一款Solana的開源量化系統存在盜取用戶API私鑰的後門。

2. 2021年10月：量化系統依賴庫UAparser.js的作者賬號被盜，上傳了包含惡意代碼的源碼。

3.2019年7月，量化系統依賴庫strong_password作者賬號被盜，上傳了包含惡意代碼的源碼。

4.2018年：Copay錢包作者賬號被攻擊者接管，上傳了包含惡意代碼的源碼。

只能說類似的安全數據比比皆是，盜取API密鑰，替換邀請返傭的ID，甚至於替換交易，植入挖礦木馬等等數不勝數，幣圈是黑暗森林，走每一步都應該謹慎，即便是開源項目庫，也最好用AI進行完整的review。我個人推薦cursor + Claude-4-sonnet。

關於CCXT默認植入經紀人ID的解決方法是在創建交易所對象時，在options參數裏覆蓋默認的broker即可，詳細可以參考Github上的Issues #12678