最近国内某知名电商网短短几个小时内被灰色产业，撸了近200亿。到底200亿这个数据是不是真的不这里就不探究了。但是做软件，特别涉及到跟钱有关系的，例如红包、卡券、积分等；如果风控体系没有考虑周全，被撸的只剩内裤的经常有的。今天和大家分享一下我曾经遇到的或者在身边发生过的被撸的经历。

• 积分被撸

  因为没有对领过积分的用户进行唯一设备校验，被***发现，然后***通过虚拟了几十台设备，使用同样的用户循环批量领取积分。导致损失了很多积分，虽然100个积分才可以兑换一块钱的。后来这个还是通过监控系统发现相同的IP地址频繁的调用同样的接口，然后发出警报后才发现的。

• 短信被撸

  目前短信已经成为校验用户身份的主要工具之一。因为项目当时选用的是小众的短信API，对应的公司没有对短信做任何的风控监测；然后我们又是小团队作战，为了快速上线项目，也没有对短信接口做任何的风控检查，例如发短信前没有做验证码输入后才能发、同一个用户5分钟内能发多少次、同一个用户一天内能发多少次等都没有做任何判断；导致后来被***发现，几分钟内就把公司短信费用耗完了，比较幸运的是当时账上没有多少钱。

  
  

• 对账对错，多返客户钱

  当时有个项目做直销银行，主要功能就是购买理财产品。程序中涉及三方对账，即我方、银行核心系统和银联。由于程序并发锁没有控制好，导致同时执行了两遍对账，给客户多返了一倍钱。这个bug是致命的，在涉及到真金白银的软件开发一定要把眼睛搽的雪亮雪玲的。

  
  

• 多导了一次红包

  项目当时需要做运营活动，需要在后台管理系统里初始化红包数量及红包的大小，当时后台管理系统没有做好，对重复提交没有判断，导致运营人员以为第一次导入红包时没有成功；多点击了一下导入按钮、一下子导入了两次同样的数据，后来运营人员也没有对数据进行查看验证，导致多发了十几万。

最后只说一句涉及与钱有关的软件开发还是要多留一个心眼，一不小心就可能给公司造成不可挽回的损失，并不是简简单单没有年终奖，小公司因为这个为元气大伤。