一个BUG薅拼多多200亿羊毛？拼多多杀程序员祭天管用吗？_风闻

源 / 顶级程序员   文 / 江户川雨

一觉醒来光秃秃

1月20日凌晨，拼多多被曝出现重大bug，用户可领100元无门槛券在拼多多里抵扣使用。

根据网友晒出的截图，此次拼多多的100元无门槛券（重点）全场通用（特殊商品除外），有效期为一年。

这只BUG半夜爬了出来，敏锐的专职羊毛党瞬间察觉到了猎物的气息，于是大半夜雀跃欢呼，呼朋唤友，逮住拼多多这只小绵羊就是一顿狂薅羊毛，场面一度十分壮观。

有传言称“一夜交易额达 338 亿元，其中 200 多亿都是难于追回的话费充值“（拼多多官方后来已辟谣）！大早上网上一片惊叹，这200 亿的羊毛没了，拼多多得哆嗦成啥样啊？

关键是，拼多多似乎后知后觉，一大早起来低头一看，寒风凛冽，前方哆嗦的一批：咦？我家羊怎么光着屁股在外面吹了一宿？

于是看着光秃秃的PDD小羊羔大喊一声：程序员呢？

一个BUG

网友调侃：大周末的，祸从天上来。这个点儿程序员不是还在睡觉吗？

这还睡个锤子？赶紧查！

经过一番紧张的查找，问题终于被找了出来：报告老板！是一个Bug！

嗯……快修啊！

早上九点多，这只 Bug才被满头大汗的程序员修复完成。此后用户无法再通过这一渠道获取优惠券。那些领取未用的优惠券也同时全部失效。

这就引发了不少网友的不满。很多人开始向拼多多“讨要说法”。官方人工客服一度繁忙，排起长队。

这个时候的老板抽着烟，看着旁边满头大汗一脸局促的程序员小哥，已经蒸发掉的200亿（拼多多后来已经辟谣），把手中的烟一掐，拍拍程序员的肩膀，说道：

祭天吧。

（以上一些戏剧情节属于艺术虚构，你要是信了……四不四sa）

羊毛党

以上戏剧情节中，出现了一伙儿来无踪去无影的身影，他们有一个专有名词叫做“羊毛党”。

早在互联网竞争硝烟四起时，各大平台为了获客，不断“烧钱”推出现金补贴，“羊毛党”也在彼时进入公众视野。

“Uber和滴滴那会儿‘打’得激烈时，1公里的路，我都打车，有时甚至1分钱都不用花。”这几乎是当时人人都有过的经历，连网约车司机也“薅”得不亦乐乎——在两个网约车平台之间频繁切换着接客，光一晚上的补贴就能上千。

从最初的抢夺免费福利和优惠券，到近年来聚集在电商平台上，“羊毛党”也逐渐从分散个体向组团集聚发展，形成了有组织、有规模、有分工的职业“羊毛党”，甚至发展出了完整、成熟的产业利益链。尤其是随着电商之间的竞争越激烈，购物促销活动越来越多，“薅羊毛”的机会也会越来越多。

现如今，多数互联网平台，为了拉新留存、提高平台用户的活跃度，会采取一些运营策略，如注册送红包、送优惠券，以及消费返现、返优惠券、活动折扣价等。

而羊毛党，他们关注各大互联网平台的优惠促销活动、免费业务之类的信息，批量操作或利用漏洞领取了平台的福利。

也因此，平台或商家的优惠福利，并未直接到达真实用户，以致这样的促销活动并无实际效果，而且还损失了推广费用。

当年，白云黑土两位老人在春晚上讲述自己年轻苦难的经历时，白云大妈想给黑土大爷织一件毛衣，于是趁白天放羊的时候将公家的羊毛薅下来给自己偷偷的纺毛线用。

“薅羊毛”——这个从小品中演化而来的词，也极为准确地描绘了“羊毛党”的特征。

“羊毛党”们每一次都可以满载而归，尔后又可逍遥事外，他们怎么就能屡屡得手呢？

很显然，并不是因为他们很勤劳，而是他们在恶意注册账号和养号上。

账号是用户的“网络身份”，在以账号体系为基础的互联网环境中，下游犯罪和黑色产业在实施行动前，首先也必须设法获得大量账号资源，从而为他们提供网络身份。在具体的黑产业中，这些账号可帮助他们隐蔽真实身份、制造虚假流量、增加溯源难度、逃避法律追究等，成为黑产“替身”。

与恶意注册时常一起出现的，还包括了养号行为。也就是为防止被封禁和提升账号牟利价格，而突破互联网安全策略，模拟正常使用的账号形态，保持账号的正常存续和使用的行为。养号基本上有两个动机，养活或养贵账号。

这些虚假网络账号是互联网上黑色产业的“帮凶”，它们闻风而动，小到薅羊毛，大到从事网络攻击、网络诈骗等活动，危害重重。

对于“羊毛党”来说，怎么薅（手段）只是其次，更重要的是羊毛在哪里，这个非常重要。

羊毛界有这么一句话：先来的吃肉，后来的喝汤，晚到的被反撸，很形象的说明了线报对于薅羊毛的重要性。

所谓“线报”就是指平时所知道的羊毛消息，一般人拿到一个线报正常反应都是自己先撸，自己撸完了才抽空分享给别人。

而“羊毛党”们都密切的关注着这些“线报”。而这些信报说白了就是各大平台的系统漏洞。

针对这一次的拼多多事件，电子商务研究中心主任曹磊指出，此次拼多多出现这个漏洞，有两种可能：

一种可能是平台出现业务策略漏洞，另一种可能是遭到有预谋的黑灰产组织操作。

防不胜防

说道业务策略上的漏洞，这是免不了的事。

从程序员的角度来讲，往往用户比开发者更了解一个产品。

开发这个产品的人往往只考虑如何实现功能，如何提高程序性能等技术相关的东西，而用户是每天使用这个产品的人，对于这个产品能做什么往往比开发者有更广泛的思路和更深入的认识。

所以羊毛党可以说是防不胜防。

去年年底的时候，我被朋友软磨硬泡拿走了手机号码注册了星巴克的一个账号，据他说星巴克展开了全国性的圣诞节促销，只要网友在星巴克APP注册新用户，就可以领一张兑换券，兑一个中杯咖啡。

我那位朋友当然不是羊毛党，只是想占个便宜。不过我后来听说的消息有点瞠目结舌了。

因为星巴克此次营销活动没有采用反羊毛措施，羊毛党刷手只要用一个新手机号、填写简单资料，就可以去领一张价值37元的咖啡兑换券。

而有人立刻开发了自动注册机，后台自动调用打码平台进行自动兑换，短短时间获取的廉价兑换券高达数十万张。

那些换来的兑换券通过朋友圈、微商等渠道批量倾销。在朋友圈中，价值25元的咖啡券以9.9元、8.8元，甚至两三元的价格进行倾销。

最终导致的结果是，网友在星巴克咖啡厅排队兑换咖啡，部分店面的正常用户消费受到严重影响。

据说那一次星巴克损失了上千万。

2017 年 5 月，肯德基 App 出现了一个大 Bug，用户将账号生日改为“20160828”，即可在 5 分钟内获赠一张六人全家桶半价券（有效期至 8 月 31 日）——于是乎，一传十十传百，这个 Bug 硬是将肯德基 App 送上了排行榜前 50 名。

2013 年 6 月，百度云支付系统爆出重大支付 Bug，其上所有产品价格降至原价的 1/1000，秉持着“有便宜不占白不占”的理念，众人纷纷下载、注册、购买一条龙……

同样因为业务漏洞而被羊毛党趁虚而入的是去年，2018年元旦期间，腾讯视频发起优惠充值活动，但因为活动服务器后台数据出现异常，有部分用户在充值一个月时出现应该支付优惠价18元实际仅被扣费0.2元的状况。当时这一漏洞共引来39万用户参与。

其后腾讯发布公告称，这是公司的工作失误。

不过，腾讯财大气粗，他们后来将这些异常订单全部兑现，且不再扣费。最终，腾讯为这个Bug付出超过5000万元的代价。不过同时却赢得网友的好评。

这一次拼多多出现了这么大的一个BUG，按理说，传播的这么广，拼多多这种上市企业应该很快就发现风险，即使把它掐灭。

可悲的是，直到早上九点，二维码仍然有效。一直持续到了九点半左右，才终于被官方全部封死。

普通人拿着这个优惠劵可能是买一些自己想要用的商品，而有经验的羊毛党，第一时间就会将这个换成 Q 币或者话费这种即时到账的东西，免的夜长梦多。

狂欢之后，有人总结，拼多多这下损失了200个亿！

不过拼多多负责此事的发言人在朋友圈调侃吐槽，“真的没有 200 亿，深更半夜的，全国人民都过来每人薅走10几块钱，你觉得可能吗？”而且，拼多多表示已经报警。

虽然这一次的损失不像坊间流传的那样有200亿，但上百万还是有的。

为了减少损失，拼多多收回了用户领取且尚未使用的优惠券，并给予“5元无门槛优惠券”的补偿。客服解释称，此前的优惠券是系统误发，此次给予的5元优惠券有效期是50年。还向入驻商家发布紧急通知，百元券不能用来抵扣商品，如果是网友购买的实物商品，建议终止物流派送。

不过这一举动倒是让很多人不满了，有人说拼多多这是反悔了，单方面撤销合同啊，相当于作废了优惠券！玩不起就别玩啊！……

还有人提议，若拼多多此次损失真不足千万，那大可将此次损失回馈用户，赚来一次绝佳的“营销”机会，而不是急于挽回损失嘛。

总之，昨天全国上下因为“拼多多”几个字操碎了心。

有预谋的薅

面对这次漏洞，拼多多很委屈，随着各路传言猜测越炒越烈，拼多多官方也于社交平台发布声明，称此次事件为“黑产通过平台一个没有门槛的优惠券漏洞进行的不正当牟利”。

拼多多发言人表示，“没想到在系统没有任何数据安全漏洞的情况下，灰黑产还能利用规则漏洞薅走总价值数千万的优惠券”，“已向警方报案，最终还能追回不少，实际资损大概率低于千万元”。

对于这种有预谋的薅羊毛，业务能力稍微弱一点对方就很容易得手了。

拼多多负责这个活动的人员肯定今年是没法过个好年的，年终肯定是没了的，都发给广大羊毛党了。

对于拼多多紧急下架优惠券的行为，电子商务研究中心主任曹磊认为，从法律责任认定和用户权益保护角度出发，如果是平台主动推出的活动，那么应按照官方说明来兑现承诺，也就相当于在线跟用户签订协议，平台当然要执行。“但拼多多相关声明已经显示，用户是通过一个过期的优惠券漏洞盗取了优惠券。根据《合同法》相关规定，拼多多取消或收回优惠券是不需要承担法律责任的，从情感上也能够理解。”

他表示，如果此次拼多多出现优惠券漏洞是黑产羊毛党恶意行为，这类交易属于存在“重大误解”订立的合同，“（拼多多）是可以要求撤销的。

即便如此，网上依然质疑声一片。很多人不停地嘲讽：坑多多，拼夕夕，玩不起就别玩啊？……

更多的人则表示，直到拼多多一路狂飙冲上热搜，才知道在自己好梦正酣时唱了这么一出，戏称一觉醒来错过一个亿。

不过这里要提醒的是，像这样的便宜最好还是不要占。正如有网友说的那样：“这跟街边车倒了上前抢橘子的有什么区别？”

当年有一个哥们儿叫许霆，就是银行取款机坏了，可以免费取钱，他取了十几万，直接被判了五年刑期。

不过随着案件越来越严肃，大部分人吃瓜的心路里程也发生了变化，从一开始抱怨到后来开始庆幸：“ 幸亏自己没捡这便宜，没准还要得不偿失，那些玩大的莫不是要去牢里过年了 ”。

而对于拼多多，总的来说，打了一整天全国范围的广告，带来的影响就是，业内对拼多多的评价又低了不少。

这一次的羊毛党把拼多多薅的那叫一个十分的惨烈。

作为打法律擦边球的一把好手，羊毛党长期游走在法律边界，在违法的边缘“大鹏展翅”，甚至在很大程度上损害了普通消费者的权益。

拼多多这次曝出的漏洞，据说“羊毛党”里的大佬在凌晨1点左右就先发现了。

在利用漏洞赚够了之后，大佬要“把水搅浑”，故意把漏洞泄露出去，让成千上万的人去“薅羊毛”，以更好地避免被拼多多追踪。

真正的大佬，消失在“茫茫人群中”。

于是有人揪住声明中的“第一时间”开始嘲讽：一个漏洞从大半夜沸沸扬扬到了上午九点多才被发现，拼多多的风控团队也太差劲了吧。

业内人士就指出，拼多多这次漏洞非常非常低级！

像这类没有门槛的优惠券，现在电商平台发放一般会慎之又慎。要发放，也要经过层层审批。

就算发放，也会限制每个人领的份数，而且对使用也实施监控，比如，严查同一收货手机号、同一收货地址、同一IP、同一设备ID、同一支付ID等等。

目的就是防备“羊毛党”。

而当下的拼多多，虽然在去年成为了一家上市公司，但是在处理风险的问题是还是太过于稚嫩啊。

现如今，面对恶意薅羊毛的羊毛党，各大平台也都有自己的防控措施。

但人的贪婪你是防不住的。

面对当下防不胜防且有组织有预谋还来去无踪影的“羊毛党”，应对风险的防控能力才是硬核。像拼多多这样的事情如果不引以为戒，以后再有薅羊毛的行为就会变成大型屠宰现场也未可知。

毕竟，你一出事可是3亿人都会有反应啊。

那时候，杀多少程序员祭天都没有用。

-END-