节选自 zhihu
外服《明日方舟:终末地》的 PayPal 支付渠道出现异常:有用户将 PayPal 账户与游戏账号免密绑定后,其他玩家通过 PayPal 给游戏充值时,系统出现扣除这些已免密绑定用户的 PayPal 余额,而非充值者本人账户的状况。目前已有用户称因此损失数千美元,且相关异常并非个例。
游戏里绑定 paypal 是类似国内绑定支付宝/信用卡免密支付吗,直接划扣?
 |
1
xiaotan5 OP 我似乎犯傻了,没注意到节选里的“免密绑定”字段。
|
 |
2
zhengfan2016 2 天前
@xiaotan5 很好奇,正常用 uuid 应该不太可能出现这种情况吧,难道说鹰角的人写代码用了 ai ,然后 ai 写了个兜底逻辑,匹配不到也要随机扣个倒霉蛋的钱,保证不管什么极端情况都能扣到钱
 |
 |
3
apacheinsky 2 天前
我想知道现在真的出现“充值者本人账户没有扣费”的情况了吗?似乎只有倒霉蛋被多扣钱的截图出现,没有人声称自己买了石头却没有实际扣费,难道是两边都扣费了吗
|
 |
4
JYii 2 天前
刚看完事件始末,甚至无法想象这个 bug 是如何写出来的
|
|
5
xiaotan5 OP |
 |
6
C5H12O5 2 天前
@zhengfan2016 早上看了,说是客户端 UID 和支付凭证就没做关联校验,可以说是草台论的又一有力论证了
|
 |
7
EeveeRibbon 2 天前
@apacheinsky #3 reddit 有,说自己支付一直失败,但是买的月卡生效了
|
 |
9
duuu 2 天前
@zhengfan2016 理论上,支付商不应该开放这种权限给商家。也就是商家一定无法控制扣谁的钱,对于商家来说,只能知道这个订单是否支付完成了。国内的支付商都是这个流程。
但是外国支付商的思维如果还在信用卡那(知道卡号就就能盗刷)那就不好说了~ |
 |
10
unused 2 天前
@apacheinsky 闷声发大财
|
 |
11
Mithril 2 天前  1
因为都在讨论“人类编写代码的时代已经结束了”。
没准是因为“降本增笑”,搞了一堆 AI 编码进去,Review 觉得没问题,测试压力不大的时候也觉得没问题,上线就炸了。 |
|
14
C5H12O5 2 天前
@lufer reddit 上说是绑定了 paypal 的免密支付才出的问题,估计其它方式还没接吧。现在也不好说 paypal 有没问题,都是网友猜测,但鹰角主责是没跑了,相当于用户把扣款权利委托给了鹰角,而他根本没管某笔支付请求是不是这个用户发起的,拿到你的凭证就狠狠的扣了
|
 |
15
lazinesssheep 2 天前
从来不开免密支付
|
 |
16
jjwjiang 2 天前
@C5H12O5 paypal 那个文档我去看了眼,挺奇怪的反正,国内网上传了一堆什么线程池微服务的问题,我怎么看也觉得不可能,真是那种问题所有渠道都会出 bug 的
|
 |
17
Rothschild 2 天前
@lufer paypal 欧美活跃用户量是 4.3 亿,年交易量十几万亿美元,比支付宝历史都早很多,你觉得可能是它的问题吗,那欧美民众日常早炸了
|
 |
18
KisekiRemi 2 天前
因为是基操,这么大体量玩家用户的前提下,之前没见过哪个游戏厂子爆出来过
|
 |
19
lufer 2 天前
@Rothschild 首先我的回复并没有说是 paypal 的问题,其次去年 aws 和 cloudflare 都出现 P0 级生产事故的时候,欧美民众日常是不是也炸了?在没有看到事件复盘之前那不是什么都有可能吗
|
|
20
Rothschild 2 天前
@lufer aws 出现 P0 的时候立刻全球都炸了,你说的太对了。但 paypal 每秒全球都在几百万千万级别的交易,现在哪炸了????????????
|
|
21
lufer 2 天前
@Rothschild 你的表达不就是 paypal 不可能出问题,然而去年草台班子事故频出,已经没有什么不可能。
|
|
22
Rothschild 1 天前
@lufer 可以出问题啊,但出问题就是世界级,立刻全球乱套新闻头版,跟这个有啥关系
|
 |
23
Ketteiron 1 天前
@duuu #9 外国的信用卡基于"信用"本身,付款人可以取消支付,因此免密信用支付才能推行下去,被意外盗刷了用户是可以不认的。
而且这也不是盗刷,用户授权给游戏公司,游戏公司生成一笔交易订单推送给支付渠道,支付渠道验证后批准这笔交易,在支付渠道看来,这是一笔正常的交易。 不管国内还是国外,都是一模一样的流程,如果这事发生在中国,就是绑定支付宝/微信的用户授权给游戏开通免密支付,结果发现自己的支付宝/微信余额被莫名扣减。 > 商家一定无法控制扣谁的钱 这是错的,商家能控制扣谁的钱是免密支付的基石。 用户授权给商家,那么就相当于把自己钱包的部分管理权授予给商家,商家拿到你的令牌可以请求平台进行交易,平台只会验证密钥、令牌、余额等信息,对支付平台来说,它不会也不能去验证这笔钱是不是你发起的。而在这个案例中,是商家发错信息了,平台依照请求忠实地促成这笔交易,第一过错是发错东西的商家,第二过错是把令牌授予商家的用户,支付平台在这里没有任何过错。 一般来说,碰上这种事支付平台会狠狠地罚商家一大笔钱,因为它的信誉受损,信誉或者信用是支付平台能长久运营的基石。 |
Select Language