拼多多现重大Bug，一晚被薅羊毛200亿，整个部门年终奖没了

编者按：本文转自InfoQ（ID：Infoqchina），作者：小智，36氪经授权转载。

事件回溯

今日消息，微博爆料称拼多多出现重大 Bug：100 无门槛券随便领，据说一晚上被人薅了 200 多亿！

从网友晒出的图片看，此次 100 元无门槛券全场通用（特殊商品除外），有效期一年。有网友表示，凌晨 3 点多被同行“喊醒”，让来拼多多“薅羊毛”，“只需支付 4 毛钱，就可以充值 100 元话费”。

于是，大量网友上线以此方式充值。从截图上看，有网友一晚上充值中国移动百余次，每次为 100 元，花费 0.4 元。

值得一提的是，之前领到未使用的优惠券也被全部下架。这引发部分常规用户的不满，大量网友在拼多多官微质问：“100 元优惠券为什么不能用了？”

脉脉职言区疑似出现当事程序员回应：自己连带部门的年终奖都没了。

拼多多回应

1 月 20 日晨，有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。针对此行为，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪。同时我们已向公安机关报案，并将积极配合相关部门对涉事黑灰产团伙予以打击。

“随着事情的发酵，拼多多在 20 号九点左右把优惠券领取方式全部下架，之前领到未用的也全部下架，来减小损失。”

电商平台的那些 bug

事实上，类似的电商平台 bug 先例不在少数。

比如 2018 年，魅族官方预告了一款新品，并为粉丝送出了福利，前 100 名预购的朋友可享受福利价，只需要 0.5 元就可以购买，先到先得。但发售后发现，近千人下单金额都是 0.5 元，最后魅族官方发现 bug 并修复。官方也对此事进行了回应，他们表示，对于已经下单成功的用户，魅族将正常发货，且货品和正品无异，至于相关售后问题，用户可正常享有魅族商城的售后服务。

类似事件也有不少，一般都是电商平台自掏腰包打落牙齿和血吞。

薅羊毛背后的网络黑产

黑产的现状及常用的盈利手段是什么？

这里给出三个数字：

• 第一个数字是 150 万，这是 2017 年网络安全生态峰会上评估出的黑产从业人员的人数。跟这个人数相比，目前业界顶尖公司中安全从业人员最多不过千余人，与黑产对比可谓凤毛麟角。

• 第二个数字是千亿，这是网络安全生态峰会上评估的黑产年产值。根据 2017 年的腾讯阿里两家巨头的财报，两家公司净利润总和接近千亿元，黑产的年产值基本可以与这两家巨头公司并驾齐驱。

• 第三个是 20%，这是根据我们之前经验评估的营销活动的资损率。举例来说比如要做一个新注册的拉新活动，投了 100 万去吸引用户，最后会发现至少有 20 万会进入到黑产的口袋里。

黑产的盈利场景是什么？

• 第一种是撞库，就是把其他平台泄露的一些用户名和密码，不停地拿到另外一些平台上去试，如果登录成功之后首先会窃取账号内的资产信息，之后会使用窃取的账号去做一些薅羊毛等相关的事情。

• 第二种是垃圾注册，黑产要盈利必须要有海量的帐号，黑产会注册成千上万个小号来为后续的活动进行准备，这是万恶之源。

• 为了抵御黑产，各家公司都会有自己专门的风控团队，使用各种各样的技术手段去进行对抗。如果你对抵御黑产，保护代码的技术内容感兴趣，可以阅读这篇文章： 别动我的代码！聊聊那些代码保护的艺术 。

你怎么看？

对于此类事件，你觉得最好的解决方案是怎样的？

如果你是当事程序员或其团队 leader，你会如何处理？

如果你发现了类似问题，会选择去薅羊毛吗？

欢迎在评论区留言告诉我们！