拼多多100元漏洞

我也是个薅羊毛爱好者，不过仅限于好奇和研究，毕竟不成规模的话，个人力量薅羊毛那是买椟还珠浪费时间。这篇是知乎上一个高票的答案，借此可以了解到羊毛风控的一些逻辑，补充个人知识盲点，开阔眼界。以下是原文：如何看待拼多多出现 100 元无门槛优惠券的漏洞？可能的技术原因是什么？羊毛党行为是否具有法律风险？ - 半佛仙人的回答 - 知乎

作为天天与羊毛党相爱相杀的风控从业者，昨夜我一夜没睡。

别问我干了啥，不懂薅羊毛策略的风控在我看来全都是没有实战经验的弱鸡。

昨夜整个羊毛世界都沸腾了。

先讲暴露了哪些问题，再讲追责。

1.在电商行业，对于无门槛券是非常非常重视的，因为不同于有门槛券（满多少减多少，创造GMV和毛利抵扣），某种程度上，无门槛券等同于送现金，所以针对无门槛券，必须有一系列的核身策略，保证这张券不能被相同的人所领取。

核身策略中最常见的就是不同账号出现了同一收货手机号，同一收货地址，同一历史行为，同一IP，同一设备ID，同一支付ID，LBS，资料血缘，关系网络等等等一系列策略，这些可以防范住最大批量的LOW比羊毛党和低端机刷党，是电商最常见基础防范手段。

但昨夜，拼多多暴露出来没有这套东西，或者说这套东西没有配置到这张券的ID上，因为直接用猫池+脚本API，就能批量自动操作，这也是巨额数字怎么在9小时内就被搞出来的，因为基本没有设置门槛。

2.由于无门槛券几乎等同于现金，所以除了核身策略，往往还有其他匹配的风控体系，例如单人领取金额上限（1个月内领券不得超过XXX元），例如券额限制（无门槛券不得高于单张10元），例如消费领域限制（不得用于购买Q币，话费，游戏充值等虚拟物品）等等等等，这一系列的策略的目的就是拦截灰产的变现体系以及追溯灰产身份，例如无门槛只能买实物，那么就必然要留收获地址，那么这个地址就可以做很多事情，即使是假地址。

而且实物发货的话，拼多多是来得及拦截发货和半路撤回的，我经历过这种大面积撤回包裹。

但昨夜，这一系列限制统统都没有，羊毛党的变现最看重的就是高流通性和赢通性的产品，例如Q币，话费，这些东西很容易就能洗干净变成现金，很多羊毛党都有专门的洗白通道，现在这个节点，速度快的羊毛党已经全部变现了。

3.即使1和2都没有，也应该有一整套监控体系，对于优惠券的流向以及流量监控，并且设置报警阈值，失效机制，熔断机制，这些风控和大数据都应该早就准备好的。

就算我上面说的实现起来需要时间，那么就基础电商平台该有的商品销售TOP10，品类TOP10这样的可视化数字大盘也该有吧？肯定第一时间就发现就TM这些Q币话费卖的好，GMV出现同比环比的各种异常。

但是也没有，这个东西居然是被研发因为并发异常先发现的。

根据123，透露出来的问题是，优惠券设置逻辑没有过大脑，高风险业务无风险意识，风控交易与反欺诈策略缺失，数据监控体系及熔断机制缺失，要么是拼多多的风控没脑子，要么就是业务驱动，逼的风控不敢多讲话，这不奇怪，电商公司都是业务驱动，GMV是爹妈，风控这种挡GMV的角色往往被业务踩在脚下摩擦。

4.说完风控，再看看其他部门。

这张券是凌晨1点上线的，无门槛，大面额，全品类通用，假使这张券真的应该存在，那么，这种券的上线难道没有经过多级审批么？测试没有测出来吗？上线后没有至少120分钟的持续观察效果吗？

整个系统上线流程都有问题，运行监控也是缺失。

相关的研发到测试到运维，都有很大的责任。

5.问了下内部的朋友，说是这张券是某人配置失误，系统自动上线。

那问题又来了，整个优惠券系统里面，对于券的条件限制（金额，门槛，适用范围）是缺失的，并且在券发布的时候，没有中间隔一层预发环境来做缓冲，也没有做流量测试，就能直接上生产环境？上了也没有持续监控？

即使是配置的运营犯傻逼，但涉及到现金的业务如此草率，这部分研发是拼多多上买来的吗？

结合4和5，透露出的问题是，整个系统上线机制不合理，业务系统配置中没有加入风险校验环节，预发环境形同虚设，业务上线后的持续人工监控缺失。

考虑到拼多多引以为傲的高并发支持，我只能理解这条壮汉外功已经登峰造极，但内力大概是肾虚的小学生水平，这不意外，因为内功修炼是很难拿出去吹KPI的，所以大神程序员都不愿意做，都是能用就行的态度，这是血的教训。

6.我们来谈谈如何止损。

6.1已充出去的Q币和话费，如果还没有被羊毛党变现，那么也许还能追会一部分，QQ可以直接回收账号，三大运营商也能锁号扣费，但是这里面涉及到了很麻烦的一个问题。

那就是他们凭什么配合拼多多？因为这些交易都是拼多多认可后才让他们执行的，他们没有道理由着拼多多任性，腾讯爸爸可能会帮一把亲儿子，但是三大运营商可未必会配合，当然联通由于混改加入了股东腾讯，所以联通可能会配合。

另外不知道拼多多和他们是怎么结算的，是像iphone代理一样实时结算，还是类支付宝的先资金池再按时结算。

如果是前者，那基本很难追回了，如果是后者，那就是一场惊天撕逼大战。

6.2拼多多肯定不会善罢甘休的，羊毛党深知这一点，所以才在薅够了之后公开这个BUG，期望把水搅混，法不责众。

这个BUG是夜里5点左右公布出来的，然后就是全民狂欢，这些狂欢的人，我们一般称之为肉机，就是真人，真机，真身份，真行为。

现在的情况是，假使拼多多报警，能否抓到这些羊毛党头子，作为攻防的老手，我想说的是可以抓，但前提是拼多多有足够多的人力物力往里面投，并且数据保留要足够精准。

如果拼多多的数据部门和运维部门傻逼到定时清缓存，或者设置了某个系统BUG直接重启的话，那就不用抓了，没数据你怎么追溯。

另外就是这些被刷的都是虚拟物品，就看拼多多能不能抓住他们变现的节点来追溯身份了，祝他们好运。

6.3这批羊毛党一定有法律风险，但是只是那批最low的会被逮住，最大的几个早就变现隐匿了，人家用的东西都是没法追溯的。

真正的反追溯不是隐藏自己，而是创造更多虚假的自己，这才是高手所为。

6.4不用担心拼多多破产，最终的实发金额，亏损金额，未追回金额等等一系列的数字没有那么夸张的，虽然金额不会特别天文，但是拼多多自己说的千万级也太糊弄人了。

还有买了拼多多股票的各位，下一个交易日见，对于电商而言，这么初级的错误很有可能会导致投资者信心丧失。

总结一下这个案子，拼多多是狂奔的超级独角兽不假，但在业务猛增的时候，内功没有修炼好，导致被一剑封喉。

原本就不该出现这种券，就算出现了也不该上线，就算上线了也应该被监控到，就算没有监控到也不该被同一批人领走，就算被同一批人领走也不该能应用于虚拟物品，就算能被应用于虚拟物品也不该9小时后才被制止，这其实不是一个问题，而是一系列问题。

这一系列不应该的阴差阳错，导致了这个巨额亏损，那么问题来了，这一系列问题下，拼多多的交易数字还可靠吗？之后美股怎么看这件事？这也是一场好戏。

内功一塌糊涂。

至于为啥不修内功嘛，一来修内功外人看不到，对外不方便吹逼讲故事，对内不利于个人晋升答辩（毕竟风控这种东西，除了金融领域，都很难量化成果），这种事情聪明人最不爱做了，可惜这只是小聪明。

二来嘛，很多电商为了讲故事，拉高估值，GMV可着劲儿注水，高层睁一只眼闭一只眼，很多运营恨不得管羊毛党叫爸爸，跪求他们来薅，反正羊毛薅完，GMV是特别好看，亏损是公司的，绩效奖金和升职加薪是自己的，所以何苦来哉？

对风控而言，最大的敌人，永远在内部。

这是风控的宿命。