“什么叫随机抽一个玩家付费？” | 《明日方舟：终末地》上线首日爆恶性支付BUG，鹰角可能有什么法律责任？

昨天（1月22日），《明日方舟：终末地》终于全球公测了

作为一个弃坑多年的《明日方舟》老博士

我当然

没有玩

（还在努力更新PrivaTrans v1.3呢）

但是，《终末地》的瓜还是传到了我面前，甚至居然和我本职相关

仔细看了一下，不得不佩服

能出现这个BUG

也太厉害了

*本文仅为笔者个人观点，不视为任何法律建议或法律意见。

一、《终末地》发生了什么？

《明日方舟：终末地》是鹰角网络开发的“明日方舟”系列重磅续作，从公布之日起，就受到了许多玩家的期待。

在经历了国内多次内测后，终于在1月22日迎来了全球公测。

然而，公测没多久，就爆出了大量恶性BUG（虽然有部分未验证），但其中包括一个足以载入游戏运营事故史册的恶性BUG。

俗称

“抽玩家池”

简单来说，全球所有在游戏账号内绑定了 PayPal（类似支付宝）并开启了免密支付的玩家，都有可能被迫成为“全服公共钱包”。

理论上，游戏内买道具的正常支付逻辑应该是：

A玩家购买虚拟物品 → 游戏服务器把A玩家用户Token连同扣费请求发给PayPal → PayPal验证A玩家的Token并扣费→ PayPal返回确认扣费的通知 → 游戏把物品发送给A玩家

但这次发生的事故逻辑是：

B玩家(还有C/D/E……玩家)购买虚拟物品 → 游戏服务器继续把A玩家用户Token连同扣费请求发给PayPal → PayPal验证A玩家的Token并扣费→ PayPal返回确认扣费的通知 → 游戏把物品发送给B玩家(还有C/D/E……玩家)

结果就是，A玩家什么都没干，就看到了手机震个不停，账户余额直接被来自世界各地的陌生订单刷爆。

甚至因为扣款货币涉及日元、美元、欧元等多种货币，还可能导致账户因“跨国盗刷”被风控冻结。

就目前看到的消息，最“幸运”的用户，合计被刷了1.5万欧元（约12.5万人民币）：

曾经有一个经典的知乎题目：

没想到这么快就实际出现了，虽然是金色的，虽然不会真的“死”：

二、可能的原因是什么？

虽然官方尚未公布详细的技术复盘，但可以先看看正常的PayPal免密支付流程图：

我们可以发现，PayPal本身只负责验证“拿着令牌来的人能不能扣款”，而不负责验证“这个令牌是不是属于当前操作的玩家”。

当游戏服务商拿着A的“金库钥匙”（Token），告诉PayPal“我是代表A来付这笔钱的”，PayPal验证了钥匙是真的，就会放行了。

所以，问题的核心主要可能出在鹰角的“服务器”上。

简单来说，鹰角的服务器在发起请求时，把“钥匙”（令牌/Token）给错了。

以下是两种个人设想可能的原因：

可能性一：高并发下的“竞态条件” 

在公测开服的瞬间，玩家氪金热情高涨，服务器压力极大，每秒可能有数十万次支付请求涌入。

为了实现PayPal免密支付，鹰角的服务器需要为每个支付订单输入两个关键参数，一个是自家的访问令牌（Access Token），另一个是用户的结算协议令牌（BAID，Billing Agreement ID，类似“见票即付”的作用）。

后端服务在处理这些请求时，如果没有严格做好线程安全保护，就可能出现“串线”的情况。

这就好比银行柜台只有一个窗口（共享资源），柜员（服务器线程）手里刚拿到玩家A的银行卡（BAID令牌）操作完，还没来得及还回去（或者流程中缺少了还回去的环节），玩家B就直接插过来说要取款了。

然后，柜员还真的就直接拿着玩家A的银行卡继续操作取款了。

// 伪代码

玩家 A 准备付钱，这个服务器节点首次触发支付功能，读取了 TA 的 BAID 放入内存，一轮操作后，玩家 A 拿到了自己买的道具，并成功扣费；

然后，玩家 B 的请求也进来了，由于没有清理旧的 BAID 数据，玩家B 的请求直接复用了这个内存变量，程序判断“有支付信息了，直接用吧”；

结果，服务器最终发给 PayPal 的请求是：

【A有一个订单待支付】

【A又有一个订单待支付（实际是B下的单）】

只要变量没被清空，后续的 C、D、E 玩家都会成为“连环杀手”，直到这个支付信息被某个新操作重置。

可能性二：分布式缓存（Redis）的键值冲突 

玩家氪金热情高涨，面对全球公测的海量请求，在高并发场景下，为了提升性能，服务器通常会利用 Redis（一个超快速Key:Value数据库，很多时候会用来存Tokens，我有挺多服务就用这个） 进行高频数据缓存，以避免频繁查询数据库（查库开销大且慢）。

“他们一定会继续氪金的！”

所以服务器没有每次进行“查数据库拿支付信息”的核验工作，而是查完一次之后，把读取到的BAID都存到了Redis中。

后端服务器在处理新订单时，直接就可以从Redis里面拿BAID。

但很不幸，可能是没做 “UID:BAID”的验证工作，或者Key设置错了，或者代码直接写死了提取“当前数据库第一个BAID”。

反正，某个“幸运儿”的 BAID 就成了“公用钱包”。

同时，因为全球化运营，单台服务器肯定扛不住的，必须上集群

K8s (Kubernetes) 启动！

然后再利用RedisShake之类的工具，对各个节点的Redis数据进行了同步。

由于 K8s 集群部署在全球不同节点（对应不同币种结算区），这就可以解释为什么受害者的账户会被日元、美元、欧元，甚至各种不知名的小货币轮番轰炸。

三、可能会有什么法律后果？

考虑到这次出问题的支付渠道为PayPal，且为全球性的恶性事件，下面就看看在欧美日等法治辖区（也对应了那张截图里面的主要货币来源），针对这种情况可能会有什么官方行动或者处罚或者责任。

欧州 

欧洲对数据隐私的保护是全球最严的。

欧洲有知名的GDPR（通用数据保护条例），这次事件中，玩家A的支付凭据（BAID）被用于处理玩家B的交易，可能会被认为构成严重的“未经授权的数据处理”。

根据GDPR，对于此类未能保护用户数据安全（Security of Processing）且造成高风险后果的违规，最高罚款可达全球年营业额的4%或2000万欧元（取其高者）。

考虑到鹰角的全球体量，这可能是一笔天文数字……吗？

鹰角核心游戏《明日方舟》的海外运营商悠星，而《来自星尘》和《终末地》的海外运营商，是鹰角自己在新加坡与日本成立的海外发行子公司，狮鹫边境旗下的海外发行品牌GRYPHLINE。

考虑到《来自星尘》的实际收入和《终末地》才开服不久，如果真的被认为严重违规，4%好像没多少，所以顶格处罚就是2000万欧。

实在赔不起了，把子公司直接破产了，好像也行？

才怪！

在欧盟GDPR执法实践中，“企业（Undertaking）”的概念通常参考欧盟竞争法。

如果母公司（鹰角）对子公司（GRYPHLINE）行使决定性影响（Decisive Influence），它们就被视为同一个经济实体，欧盟监管机构完全有权以整个集团（母公司+子公司，aka“刺破公司面纱”）的全球年营业额作为4%的计算基数，目的是确保罚款具有“震慑力”。

监管机构在开罚单时，有权直接穿透子公司，将母公司列为共同责任人。

罚款的基数也是按照整个集团（母公司+所有子公司）的全球总营业额来计算，而不是仅看那个破产子公司的账面资金。

考虑到写游戏代码的研发商是鹰角本体，负责运营的GRYPHLINE是鹰角子公司，整个事故就是在鹰角集团内出现的问题，很容易就会被认定为共同管控者，从而要一起承担责任。

也就是说，如果子公司赔不起（破产了），受害者和监管机构可以直接找母公司鹰角要全额赔偿。

例如：法国在2019年首次援引 GDPR 罚谷歌时，就是直接参考 Google Inc.（集团），而不是 Google France 的营收来罚，最终开出了5000万欧的罚单。

美国 

美国是诉讼大国，这起事故集齐了所有让律师兴奋的要素：金融损失、跨国公司、大规模受害者，是美国同行们的最爱。

受损玩家（不仅是钱被扣的，还包括账号被风控、因为退款导致游戏回档体验受损的玩家）极大概率会发起集体诉讼（美国律师们通常也会怂恿他们诉讼）。

诉由包括但不限于：疏忽（Negligence）、不当得利（Unjust Enrichment）、违反合同（Breach of Contract）和违反消费者保护法等等。

如果不和解，除了赔偿玩家损失的钱外，陪审团还通常会判处巨额的“惩罚性赔偿”。

例如：1994年麦当劳咖啡案，陪审团一开始要求麦当劳补偿受害者16万美元损失补偿，外加270万惩罚性补偿。

此外，如果是因为缺乏基本的安全测试导致此类低级漏洞，FTC（联邦贸易委员会）还可能介入调查其是否构成“不公平或欺诈性商业行为”，并可能要求企业接受长达20年的第三方审计。

日本 

作为二次元游戏的主战场，日本法律虽不如欧美激进，但监管同样不容小觑。

类似于GDPR，日本《个人信息保护法（個人情報保護法）》会要求企业对个人数据（包括支付信息）采取必要的安全管理措施。

发生如此大规模的错用BUG，游戏商必须向“个人情报保护委员会”报告并通知受害者，否则面临行政处罚。

涉及游戏内货币和误扣款，日本金融厅和消费者厅可能会依据《资金结算法（資金決済法）》和《消费者契约法》介入，并有权发出“业务改善命令”。

不同于罚款，这种官方定性的“不诚信企业”标签，会导致银行收紧合作、画师拒绝约稿、IP联动方解约。

考虑到日本市场是鹰角的主要收入来源之一，也有大量画师合作，这种日本特色社会性死亡可能比罚款更痛苦。

四、最后

根据鹰角最新的公告，官方已经禁用了PayPal渠道，并承诺全额退款。

但又有一个新的地狱级运营难题：

如何回滚？

A玩家被扣的钱，肯定要退。

但是B玩家（白嫖党）拿到的道具已经用了，角色已经抽了，甚至养成材料都喂了。

如果强制扣除B玩家的道具、回收玩家的六星角色，B玩家肯定会炸毛：“我明明点了支付，是你系统BUG，凭什么扣我资源/回收我角色？”

如果不扣B玩家的资源，A玩家（和其他正常付费玩家）又会炸毛：“凭什么他们免费抽卡？”

当然，如果不怕游戏口碑问题，扣成负数资源也不是不行。

留给运营同事挠头去吧。

鹰角目前最需要的，可能是用加急许可来招一些运营和法务吧。