一夜间被薅羊毛200亿成“拼夕夕”？拼多多：谣言可怕！

一夜之间，拼多多被“薅羊毛”200多亿元？

1月20日，拼多多被爆凌晨开始出现重大Bug，用户可以领取100元无门槛券。大批羊毛党连夜赶往拼多多薅羊毛。随后拼多多发表声明称漏洞已修复，将向公安机关报案，并否认损失达200亿的说法。

薅羊毛众生百态

用户可以领取100元无门槛优惠券

据页面显示

有效期一年

且全场通用

一夜间众多网友

纷纷选择充话费或Q币等

……

今早9点许

该bug被修复

领取优惠券页面被关闭

有网友反映

已领却未用的优惠券已无法使用

也有网友表示

“没用上券也不会维权”

更多的网友则表示

“错过几个亿”

平时在群里发拼团链接的朋友

今天都去哪了？

拼多多回应

承认有漏洞 会报案

中午12:55，拼多多发表声明称，“今晨，有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。”已就此事向公安机关报案。

据业内人士向南都记者表示，今天凌晨拼多多因此事所收到的订单金额或在几千万左右。拼多多已开始对涉事订单进行溯源，之后或根据下单情况，区分“普通用户”和“羊毛党”，以此决定是否需要用户退回已充值的话费、Q币等。

此外，针对网传“一夜损失200亿”的说法，拼多多方面也给出了回应。

据中国经营报报道，拼多多公关部人士称，20日上午网络上出现的各类“拼多多公关微信聊天记录”均系伪造，明显有人在恶意推动。

随后，拼多多发言人表示，实际最终资损或低于千万元人民币。但让人惊讶的是，比薅羊毛更快的是“资损200亿”谣言的传播速度。没想到在系统没有任何数据安全漏洞的情况下，灰黑产还能利用规则漏洞薅走总价值数千万的优惠券。

专家称平台或风控体系欠缺

有安全专家指出，一般情况下，优惠券会设立领取门槛，结合登陆IP、账号等，以此来避免羊毛党利用虚拟设备批量“薄羊毛”。而拼多多事件并未涉及虚拟设备，大量用户都是使用常规设备领取并完成交易，直接原因可能是平台的风控体系欠缺且能力不足所致。

事实上，类似的电商平台 bug 先例不在少数，最终结果一般都是电商平台自掏腰包，出血维护用户口碑。

网友热议

关于拼多多”翻车“一事，网友在@凤凰网财经 官微下热议，”薅羊毛“到底可不可行？拼多多能要求

“薅羊毛”本就不应该“

”用户一直处于弱势地位“

”严重怀疑是商业营销“

假 Bug 真营销？

世间最不乏阴谋论，只要结果对某方有利，我们就不会排除其“早有预谋”的可能。因此，不少人在这场“事故”中大胆猜测——这会不会是拼多多策划的一场兴师动众的大型营销把戏。

事实上，Bug 营销并不罕见：

2017 年 5 月，肯德基 App 出现了一个大 Bug，用户将账号生日改为“20160828”，即可在 5 分钟内获赠一张六人全家桶半价券（有效期至 8 月 31 日）——于是乎，一传十十传百，这个 Bug 硬是将肯德基 App 送上了排行榜前 50 名。

再往前看，2013 年 6 月，百度云支付系统爆出重大支付 Bug，其上所有产品价格降至原价的 1/1000，秉持着“有便宜不占白不占”的理念，众人纷纷下载、注册、购买一条龙……

所以拼多多此举是否也在践行“假 Bug”的营销手段呢？对此，有评论认为，结合其官方声明及危机应对措施不难发现，拼多多这次大概是真的踢到铁板了，这个“哑巴亏”也算是吃定了。

Bug 背后的原因是什么？

事实上，长期以来，类似事件不止拼多多一家，2018 年 1 月初，腾讯视频也曾就 0.2 元 VIP 会员支付异常问题发出了声明，同年还有王者荣耀皮肤 bug……既然并非偶发事件，那么这类 Bug 的成因又是什么？

关于这个问题，CSDN（ID：CSDNnews）特别咨询了网易易盾业务安全产品专家刘庆，他表示：

拼多多官宣的原因是系统 Bug，也有其他消息说其实这是一张测试券，只是被发到了线上。不论事发原因如何，事实确是可以无限领券，这种问题的成因主要有以下个方面：

1. 反作弊检测手段：事情是后半夜爆发，其实后半夜的风控策略应比其他时间段的要严格很多，猜测拼多多在策略区分上没有做好。事情最开始是在黑灰产圈活跃，黑灰产利用接码平台中的手机黑卡都能顺利领券，说明拼多多应该没对异常手机号做检测；

2. 风控预警能力：后半夜、短时间领券量、领券额、交易量突增爆发，却几小时后才感知到，环比、同比类的风控预警在哪？这些反映着拼多多风控预警能力可能存在不足；

3. 风控评审能力：电商类、金融类业务风控评审是非常重要的一环，若风控评审时，增加一些业务规则（设置领券门槛）、制定优惠券超发、商品超售的应急方案，最终损失也不至于这么大；

4. 渗透测试能力：无限领券是一个大 Bug，和实物超卖一个道理，此类是电商类业务渗透测试最基本的 Case，说明拼多多渗透测试能力也有待加强。