降维安全实验室智子区块链监控系统发现EOS攻击的新动向。近期,随着利用EOS智能合约进行恶意攻击的愈演愈烈,各项目方都开始将攻击者的合约账户纳入自身的黑名单监控系统,一旦发现是攻击合约“投注”,将不允许其“出千”获利。但是道高一尺魔高一丈,攻击者发现了新的绕过方式:将未部署合约的白账户的权限(如active)通过updateauth授权给攻击合约的虚拟权限eosio.code,从而可以由攻击合约操纵白帐户来进行“投注”等操作。在项目方看来,“投注”玩家是白帐户,但实际是由攻击合约操纵这个傀儡发起的恶意攻击。
