时间线
2026-04-16 上午10点半,接我我朋友给我发的消息说newapi支付有漏洞,如下
2026-04-16 下午一点半左右,我把上面bug投给ai,让ai给我修复,如下
2026-04-16 下午两点半左右,修复上线完成(我有两个站,一个散户,一个企业专用,散户的修了,企业那边最近没进度,我就没修,结果就是企业站中招了)
2026-04-16 夜里美美的睡了一觉(因为颈椎有问题,头晕,得赶紧休息)
2026-04-17 早九点,起床打开看了日志,企业站点有人给我充了1000块,我先是觉得这企业挺良心还知道给我充钱,然后一看不对劲啊,我为什么没收到钱呢,然后此时我已经反应过来了,赶紧查了下16号到17所有的充值记录,发现已经被恶意充值(都是属于钱没到账)了将近10000元额度,然后有大量的使用记录(claude,gpt都有),然后我赶紧开启了维护模式(newapi自己开发的,维护模式一开所有普通用户全都没法用,只有管理员可用)
2026-04-17 早10点左右,修复完成,服务恢复,企业站暂时关闭注册功能,下面是充值记录
总共消费了两百刀左右,还好损失不大,不然我真该哭了
兄弟们,尤其是支付,涉及到金钱相关的,一定要注意!!!!
血泪教训!!!!
3 个帖子 - 2 位参与者
来源: linux.do查看原文