这个不是破解了支付宝，也不是破解了密码，是猜出支付密码，然后再用支付密码登录
关于验证码拦截，其实并不是拦截，我解释一下
b站调用支付宝，你输入手机号之后会发一个验证码给那个手机号，然后你才可以选择支付密码登录，但这样机主就可能会知道有人在弄他的支付宝，为了不打草惊蛇，所以先随便输入一个手机号，然后验证码会发送给你输的那个手机号，这时候你用报文拦截，把报文里面的手机号改成你的目标手机号，b站就会以为他刚刚是把验证码发给了你的目标手机号，然后你就可以选择支付密码登录了。
这样实现的效果就是，你用支付密码登录了你的目标账户，然而你的目标账户并没有收到验证码，而是一个你随便输入的手机号收到了验证码。整个过程中你并不需要输入验证码，只是为了防止机主收到验证码，然后有所警惕罢了
这是b站自己调用的zfb接口，但是b站的设计有安全漏洞，不是zfb的问题