ios支付，服务器拿receipt数据去苹果验证的问题

我们最近发现，伪造的receipt 数据也能通过苹果的验证。有人知道这个bug一直存在么？我们支付流程如下：
1.客户端向Appstore请求购买产品（假设产品信息已经取得），Appstore验证产品成功后，从用户的Apple账户余额中扣费。

2.Appstore向客户端返回一段receipt-data，里面记录了本次交易的证书和签名信息。

3.客户端向我们可以信任的游戏服务器提供receipt-data

4.游戏服务器对receipt-data进行一次base64编码

5.把编码后的receipt-data发往itunes.appstore进行验证

6.itunes.appstore返回验证结果给游戏服务器

7.游戏服务器对商品购买状态以及商品类型，向客户端发放相应的道具与推送数据更新通知
但是我最近发现后台有很多伪造的receipt 数据 也能通过苹果验证，如果不是我们服务器对订单还有一层验证的话，就会造成刷单了，我想问下你们遇到过么？怎样彻底解决这个问题。