澳洲男发现ATM「无限领钱Bug」搭私人飞机包下饭店，代价仅是坐一年牢

2011 年，29 岁的澳洲调酒师 Dan Saunders 利用 ATM 漏洞，五个月提走约 160 万澳元，成了历史上金融系统知名的漏洞。让我们看看这个故事。 （前情提要：金融时报：美国银行业警告「稳定币法案」漏洞，怕6.6兆美元存款外流 ） （背景补充：冷钱包用户注意！ESP32晶片遭爆漏洞「可偷取比特币私钥」 如何检查设备是否有风险？ ） 游戏中的「无限金钱」作弊码在现实被找到？我们来重温澳洲在 2011 年前的 ATM 漏洞事件，这个故事的主角是维多利亚州的酒保，丹·桑德斯（Dan Saunders）。 当年，他的存款帐户里面仅有「3 澳元」，大约换算新台币是 120 块，但他发现提款机凌晨离线处理的程式更新空窗期漏洞，狠下心来在短短五个月内提走约 160 万澳元，过了一段短暂的奢迷富豪生活。 他最后「笑着」以一年徒刑画下句点，不但暴露金融系统的盲点，至今仍让银行与金融科技公司警惕，也让人看见，原来一个人不考虑后果的话，会活得有多狂。 深夜的提款机，他的无限现金水龙头 故事开始于一个无趣的夜班下班后，29 岁的桑德斯走去附近的 ATM 打算领现金，就算他的帐户余额只剩 3 澳元。在插入提款卡后，他却在萤幕上看到「余额暂时不可用」的讯息。 桑德斯先是以为自己的余额太少，所以想尝试借款，当他把信用额度转至储蓄帐户后操作提款，随后画面却显示出「交易取消」，接着直接吐出了他提款金额的现钞，这让桑德斯非常疑惑。 在反复操作和观察后，桑德斯发现在每天的凌晨 1 点到 3 点之间，ATM 会先记帐、再对总行资料库同步，只要在这段时间操作「转帐失败＋现金提领」组合，ATM 就会误以为帐户仍有可用额度，这是一个超级大的系统 Bug。 从第一笔 200 澳元开始，桑德斯的贪心就像无底洞，他随后一次又一次，在余额为零的状态下提款，ATM 变成了他无限金钱的密码。 在五个月里，他用同样手法转帐、领钱、再刷卡消费，帐面早就出现负数，但银行端没有发现。 纸醉金迷，然后好焦虑 无限的金钱涌入口袋后，桑德斯立刻把平凡生活升级。他预订私人喷射机邀请朋友飞到峇里岛度假，包下整间酒吧替整间店的陌生人买单，协助好友缴清学费，帮路边的流浪汉开饭店房间，桑德斯每晚都在开豪华派对，银行职员对他改用「Sir」尊称称呼，周遭的人对他都变成笑脸。 这是桑德斯租私人飞机的样子 面对人们突如其来的崇拜，他却夜不成眠，他知道都是因为钱的魔力。桑德斯开始在梦里被警察压制，然后满身冷汗的惊醒。他开始质疑自己，还是原本那个小镇上的酒保吗？还是已经成了正在逃亡的电影角色。他会照着镜子问自己： 我是谁？我是来自澳洲的丹， 还是电影里那个卷款潜逃的家伙？ 快速膨胀的财富同时放大恐惧与失控感。更矛盾的是，桑德斯在偷领钱的期间，银行对异常交易毫无动作，反而加深他的焦躁感。桑德斯开始怀疑，是不是银行默许他继续领钱，直到帐户突然封锁才会迎来更严厉的处罚。 桑德斯的心理压力日积月累，金钱带来的愉悦很快被罪恶与焦虑取代。 一年刑期，他变回了平凡人 2011 年 6 月，桑德斯选择停手并联络银行，却得知案件已移交警方调查。同年，桑德斯向精神科求助，随后两年，他一直等待银行调查结论。 他受不了了，在下了决心之后，他找上媒体并公开他全部「作案」的过程，当然也为自己招来警察逮捕。 桑德斯在媒体前「示范」他是怎么盗领现金 上了法庭审判时，法官与检方难以理解他盗领 ATM 的复杂操作，银行又缺乏完整记录（因为那是个漏洞），法律程序一度胶着。 最后桑德斯认罪，被判一年徒刑与 18 个月的强制社区服务。在狱中反省结束后，他回到时薪 22 澳元的吧台前继续为客人调酒，强烈落差让他在媒体上坦言「如果当初逃走，或许下场更好」，但也承认这段经历证明金钱无法买到安稳。 从 ATM 到链上安全的提醒 这起事件留给金融业三道严厉的问题。即时监控、异常模式辨识、紧急冻结机制。虽然发生在传统 ATM，漏洞本质却与今日区块链世界常见的闪电贷套利或跨链桥攻击相通，攻击者都利用系统时差或规则落差，在同步完成前迅速搬移资金。 随着服务全面云端化，银行与金融科技公司必须导入人工智慧和机器学习，透过行为指纹、交易关联图等方式即刻侦测异常，并在毫秒级冻结可疑帐户，才能补上类似「休眠期」的缺口。 对普罗大众而言，这则故事提醒我们，面对不义之财的诱惑，代价往往超过想像。技术漏洞会被修补，但人性需要自己守护。 事件落幕已经差不多十年了，桑德斯已重回平凡，现在偶尔还会上采访节目，也跟朋友一起提供商业顾问的生意。这里是他的 Instagram 帐号。 桑德斯在 Podcast 坦白说，他偶尔还会想到那个深夜，从提款机吐出的第一张钞票。 相关报导 在国家金融主权的「绝对红线」下，数位人民币的困境与前路 加密货币不是「Web 3.0」，而是「资本主义2.0」金融革命 超越人类万年共识与心智：为什么比特币是更好的「黄金」 〈澳洲男发现ATM「无限领钱Bug」搭私人飞机包下饭店，代价仅是坐一年牢〉这篇文章最早发布于动区BlockTempo《动区动趋-最具影响力的区块链新闻媒体》。