漏洞是怎么被发现的（漏洞8小时被薅）

随后，拼多多发布声明，称有“黑灰产通过平台优惠券漏洞不正当牟利”,目前，拼多多已报警，警方正在介入调查。Q币充值被冻结手机充值尚待解决截至发稿，上海警方已对该事件以“网络诈骗”的罪名立案并成立专案组，并依据“财产保全”的相关规定，对涉事订单进行批量冻结。但这则消息尚未得到证实。大量使用优惠券购买Q币的用户反映，目前的Q币账户均已被冻结，但有一些人受到“无辜”牵连。

漏洞是怎么被发现的?“漏洞”8小时被薅“羊毛”千万元，今天小编就来聊一聊关于漏洞是怎么被发现的?接下来我们就一起去研究一下吧!

漏洞是怎么被发现的

“漏洞”8小时被薅“羊毛”千万元

拼多多拒绝为“羊毛党”买单风控四大问题亟待解决

IT时报记者章蔚玮图东方IC

羊毛党最近将目光转向了拼多多。

1月20日凌晨到上午9点，拼多多上演了一场“薅羊毛”的狂欢：一张百元无门槛的消费券随便领，随便使用，直至官方将此券紧急下架，但预计损失已达千万元。

随后，拼多多发布声明，称有“黑灰产通过平台优惠券漏洞不正当牟利”,目前，拼多多已报警，警方正在介入调查。据《IT时报》记者了解，利用优惠券进行话费充值和购买Q币的大部分拼多多用户账户已经被冻结，各地电信运营商也将配合警方调查，但拼多多能否顺利追回损失？还没那么快。

8小时损失千万

据了解，这次被公然窃取的拼多多无门槛百元优惠券属特制优惠券，根据拼多多官方说明，是此前与《非诚勿扰》合作时，为现场嘉宾生成的优惠券，仅供现场嘉宾使用，“这个活动在去年就结束了。” 拼多多方面人士透露，这张优惠券从未在任何时候、以任何方式出现在平台正常的线上促销活动当中，甚至从未有任何线上入口。

然而，1月20日凌晨1点，这张百元无门槛优惠券悄然上线，很快话费充值和Q币成了兑换的热门产品。据拼多多公开说明，原本每个认证信息用户只可领取一张无门槛100元优惠券，但黑灰产团伙利用自己“养猫池”（用手机卡蓄养大量虚拟账号），控制N张手机黑卡同时作业，批量盗取该种优惠券，并通过手机话费、Q币等虚拟充值的方式，试图在短时间内迅速转移所得。

与此同时，20日凌晨5点，可领取这张优惠券的二维码开始出现在一批社区论坛中，吸引了一大批普通用户涌入。拼多多风控团队负责人表示，黑灰产团队在盗取金额巨大的优惠券并转移后，迅速通过网络和社交群将二维码分享出去，达到“法不责众”的效果。在《IT时报》记者采访中，不少通过扫二维码取得优惠券的用户基本用现金优惠券的形式充值了话费或者购买了Q币，只有少量用户购买了实物，“拿到优惠券后，自己加了88元购买了200个Q币”“47 优惠券，买了150个Q币”“用100 优惠券充值移动200元话费”……

上午9点，当遭盗取优惠券和正常优惠券的总和突破平台预设阈值，异常情况被系统监控到并自动报警后，拼多多官方才发现漏洞，紧急修复，而此时，距离优惠券上线已经过去9个小时，拼多多预计涉案优惠券总金额达数千万元。

Q币充值被冻结手机充值尚待解决

截至发稿，上海警方已对该事件以“网络诈骗”的罪名立案并成立专案组，并依据“财产保全”的相关规定，对涉事订单进行批量冻结。其中平台实物订单都已经冻结，卖家全部停止发货，同时，据记者了解，不少电信运营商也接到了公安要求配合调查的协查令，将对利用优惠券充值的款项进行冻结或追回，不过追讨的技术难度不小。

有消息称，一名广东移动的用户用拼多多优惠券充值的200元话费在第二天就收到短信提示，成功取消充值。但这则消息尚未得到证实。

《IT时报》记者从上海某家运营商了解到，他们的确收到公安部门的协查令，但立即撤回或者取消用户已完成的充值不会这么快，“拼多多上的充值商户几乎都是各家运营商的代理商，用户没有与运营商直接打通充值入口，因此需要追溯来源，流程比较复杂。”这位运营商人士透露，进行大规模的退款操作有非常严格的操作规范，首先要由各地方运营商的集团公司认可，因此不太可能在第二天就被取消。

拼多多表示，黑灰产业链条是利用“养猫池”批量盗取优惠券。所谓养猫池，是指在同一台机器上插入N张手机卡后统一刷取验证码，一般都会使用物联网卡，以此逃脱实名制追查。但在上述电信运营商人士看来，“实名制”并不是关键，目前运营商也在对物联网卡加大推行实名制，一旦拼多多通过监控优惠券流向锁定号码，运营商有能力追溯到具体号码以及登记用户，“关键要看拼多多是否能锁定具体号码以及实名制登记人与实际使用人是否为同一人。”

不过，大量使用了优惠券的真实消费用户充值如何解决，目前，其所在电信运营商尚未给出明确方案。

大量使用优惠券购买Q币的用户反映，目前的Q币账户均已被冻结，但有一些人受到“无辜”牵连。一位用户告诉记者，自己用一张优惠券购买了200个Q币，但账户内原有的800个Q币也一同遭到冻结，“不仅仅是拼多多的优惠券，我自己也支付了钱一起购买的，如果是简单粗暴地收回，那我的损失谁来赔偿？”对此,QQ方面没有做出官方回应。拼多多方面表示，这个冻结是根据警方调查需要进行的冻结，在调查结束后，会给用户一个明确说法。

此前，东航订票系统、腾讯充值系统等不少电商平台都因系统差错导致低价商品上线，并因此“砍单”，对此新出台的《电商法》也进行了规定，其中四十九条规定，电子商务经营者发布的商品或服务信息符合要约条件的，用户选择该商品或者服务并提交订单成功，合同成立。要求电子商务经营者不得以格式条款等方式，为自己的毁约行为制造借口，随意“砍单”。拼多多此次对大规模使用优惠券交易订单强制取消和撤回是否属于这一规定范畴？

在上海大邦律师事务所高级合伙人游云庭看来，拼多多此次发生的优惠券遭窃后、强制冻结或取消消费者购物订单的行为，符合《合同法》中五十四条规定：因重大误解订立的合同，当事人一方有权请求人民法院变更或者撤销；在订立合同时显失公平的，一方以欺诈、胁迫的手段或者乘人之危，使对方在违背真实意思的情况下订立的合同，受损害方有权请求人民法院或者仲裁机构变更或者撤销。“《合同法》与《电商法》并不矛盾，起到一种补充的作用。但所有的冻结和撤销，应当由法院来进行更合适。”游云庭表示。

四问拼多多风控

尽管事件起因是黑灰产利用拼多多平台漏洞窃取价值等同现金的优惠券，但作为平台方，在漏洞被利用一直到修补漏洞，乃至产生重大损失，中间用了9个小时，由此折射出平台在风控上存在的不足。

一位风控人士告诉记者，在大电商平台的风控体系内，对无门槛优惠券的管理一直很重视。无门槛优惠券等同于现金，因此上线前后都会有相配套的一系列防刷、防窃措施，“包括对单人领取券额的上限，消费优惠券的品类（比如是否允许虚拟物品消费）等进行限制。”尽管此次拼多多优惠券上线是被动的，但相配套的风控体系依然需要在事前进行完善。

此外，优惠券上线后，平台风控体系也应当及时采取监控措施，包括对发放优惠券的流向以及流量进行监控，设置完善的报警阈值、失效机制、熔断机制，“当大量优惠券流向Q币充值以及通信充值时，这些商品的GMV一定会出现环比异常，如果立即制止，或许就不会出现凌晨5点的那波抢券潮了。”

在这位人士看来，拼多多事件折射出其风控体系至少存在四大问题：一、拼多多后台有没有对黑客的刷单进行基础设置？为什么大量的黑客只要通过“猫池脚本API”，就能批量自动操作，以至于出现巨额损失？二、拼多多的风控体系中，有没有对单人领取金额上限、券额上限以及消费领域（比如虚拟物品消费）等进行限制？为什么会出现大量黑客通过手机充值和购买Q币，就能完成套现？三、拼多多的风控体系中究竟有没有对平台发放的优惠券的流向以及流量进行监控？为什么在事件发生后的几个小时平台系统才会有所反应？四、为什么整个平台都没能及时做出反应？当大量优惠券流向Q币充值以及通信充值时，这些商品的GMV一定会出现环比异常，为什么拼多多会一再错过掌控局面的最佳时机，以至于事件发展到难以收场的地步？