1月20日凌晨，部分羊毛党迎来狂欢。有用户称熬夜借助漏洞充值了几万元话费，更有消息称拼多多一夜之间被薅走200亿。

一个bug引发的惨案还未结束。“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图，随后经查被证实为不实谣言。拼多多表示，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪。期间及后续的正常订单，均不会受此事件影响。

投资界了解到，目前，上海警方已以“网络诈骗”的罪名立案并成立专案组，并依据“财产保全”的相关规定，对涉事订单进行批量冻结。

拼多多“被薅”始末

这投资界了解到次事件中，黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券，系拼多多此前与一档电视节目（江苏卫视《非诚勿扰》）开展合作时，因节目录制需要特殊生成的优惠券类型，仅供现场嘉宾使用。

拼多多表示，此种类型优惠券，从未在任何时候、以任何方式出现在平台正常的线上促销活动当中，甚至从未有任何线上入口。

该事件中的相关优惠券，均系黑灰产团伙通过非正常途径生成的二维码扫码后获得，随后二维码多流传于社交平台相关黑灰产群。于是，就有了网友所说，“凌晨3点多被喊醒，一起去拼多多薅羊毛。”

原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券，一时间被黑灰产团伙通过“养猫池”（用手机卡蓄养大量虚拟账号）等不法手段，实现N张手机黑卡同时作业。批量盗取该种优惠券，并通过手机话费、Q币等虚拟充值的方式，短时间内迅速转移此类不当所得，涉案优惠券总金额达数千万元。

事件发生时正值拼多多“年货节”大促，期间有大批量平台正常发放的优惠券被消耗。至20日上午9点，遭盗取优惠券和正常优惠券的总和突破平台预设阈值，系统监控到异常并自动报警。

拼多多方面预计，本次事件造成的最终实际资损大概率低于千万元。本次事件不涉及任何数据安全问题，平台消费者原本正常领取的优惠券使用不会受到影响。为进一步加强“特殊优惠券”相关风控体系，拼多多已成立技术专组。

中国政法大学传播法研究中心副主任朱巍分析称，20号凌晨拼多多出现BUG的法律责任有几种类型：1、BUG 出现的原因不明，分两类情况。第一，若是涉及计算机系统破坏出现BUG的，属于《刑法》破坏计算机信息系统罪，情节特别严重有五年以上的刑期。第二，若是不涉及到系统破坏，仅是利用漏洞，这类情形严重的话，实践中涉及盗窃罪、侵害知识产权罪，不严重的话，薅到的券属于不当得利，应予返还。

2、除了自己刷，还发布这个信息的人，传播这类信息可能涉及到前面罪名的共犯，也可以单独构成传授犯罪方法罪，或构成扰乱市场秩序的行政处罚。这个行为至少会影响到个人信用。

3、少量刷的人，一般不构成犯罪，所得属于不当得利，应及时予以返还。不过，若是在事实公布后还刷的，这就构成盗窃罪。

网购黑灰产，10天赚5万

若本次如拼多多所说，最终损失数千万元，虽然金额比谣传200多亿少很多，但还是会造成不小影响。

除了羊毛党外，领到优惠券的普通用户也担心自己正常在拼多多平台上领到的优惠券，到底能不能有效使用呢？

北京大学法学院副院长、博士生导师薛军教授在接受法制网记者采访时表示，“但如果商户本来没有发放优惠券的意思，但因为平台规则漏洞，被用户领取，那么性质上构成因为意思表示错误而成立的赠与合同，商户可以主张撤销相关的赠与合同，用户所获得的优惠券构成不当得利，应该返还。”

无论是拼多多、淘宝还是其他电商，每次惊人的高额交易背后，都若有若无藏匿着很多鲜为人知的“网购黑灰产”。

网络黑灰产，指电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是，“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘，往往为“黑产”提供辅助的争议行为。

黑灰产对电商平台伤害最大。有的人仅仅是通过虚假退货，十天内就赚了近5万元。南都记者调查显示，恶意差评的软件开发和交易平台，非法信息数据获取、退货经验交流群组等，互联网黑色与灰色产业相互交织且多处于无管理状态，在网上滋生了大量的诈骗、讹诈等违法犯罪活动。

而早在4年前，互联网黑灰产业从业人员就已经超过40万，且在两年间涨了超过90%。如今已形成一个平台化、专业化、精细化，紧密协作的产业链，从业人员主力日趋年轻化。

据统计，网络黑灰产犯罪案件中，18岁-25岁年龄段在整个受害者年龄段中占比最高，接近60%；26-30岁年龄段占比20%，90后为主要受害者。电信网络诈骗犯罪的案件中，老年群体为主要受害者；财务诈骗类案件中，主要受害者则是年轻群体；兼职刷单类案件中，大学生群体为主要受害者。

据阿里安全归零实验室统计，2018 年活跃的专业技术黑灰产平台多达数百个。服务专业化使得犯罪技术更加平民化，低廉的价格也使得黑灰产技术犯罪的成本逐步降低。

近千亿规模的网络黑灰产

黑暗世界的一瞬，不足以描述其万分之一，令人咋舌的是，背后千亿市场和个人信息的泄露。

据《2018网络黑灰产治理研究报告》数据显示，2017年我国网络安全产业规模为450多亿元，而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元，而且电信诈骗案每年以20%~30%的速度在增长。

报告指出，黑灰产有四种类型：虚假账号注册等源头性黑灰产;用于进行非法交易、交流的平台;木马植入、钓鱼网站、各类恶意软件等;大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。

很多人都不清楚自己的个人信息是如何被泄露的。此次拼多多事件所用的“猫池”就是网络黑灰产工具“八大样儿”之一。被用于大规模薅羊毛、电信诈骗。可以同时管理大规模电话手机卡，通过配套的软件可以实现同时接收、发送短信，拨打电话的功能。猫池常被黑灰产用来在各大电商平台上进行大规模网络手机账号垃圾注册，提供账号资源。

澎湃特约评论员、法律学者欧阳晨雨表示，审视这些“薅羊毛”行为，并非只是利用商家的网络漏洞那么简单，很多带有“以非法占有为目的，盗窃公私财物”，或“以非法占有为目的，用虚构事实或者隐瞒真相的方法，骗取公私财物”色彩，涉嫌侵入他人计算机系统，侵犯公民个人信息，所涉及的罪名，包括盗窃罪、诈骗罪、侵犯公民个人信息罪、非法侵入计算机信息系统罪、破坏计算机信息系统罪等。如果仅以“不当得利”鸣金收兵，“薅羊毛”黑灰产业链就可能继续存在。