降维安全实验室(johnwick.io)智子区块链监控系统发现EOS攻击的新动向。近期,随着利用EOS智能合约进行恶意攻击的愈演愈烈,各项目方都开始将攻击者的合约账户纳入自身的黑名单监控系统,一旦发现是攻击合约“投注”,将不允许其“出千”获利。但是道高一尺魔高一丈,攻击者发现了新的绕过方式:将未部署合约的白账户的权限(如active)通过updateauth授权给攻击合约的虚拟权限eosio.code,从而可以由攻击合约操纵白帐户来进行“投注”等操作。在项目方看来,“投注”玩家是白帐户,但实际是由攻击合约操纵这个傀儡发起的恶意攻击。在此,降维安全提示各项目方不仅需要对攻击合约的账户进行管控,更需要对授权其操纵的傀儡账户也纳入管控范围。
微信扫一扫 
《2018胡润大中华区独角兽指数》:区块链行业三大矿机巨头均上榜,比特大陆排名第11
上一篇
2019年1月24日 下午7:09
Galaxy Digital筹集2.5亿美元建立信贷基金,以向加密公司提供贷款
下一篇
2019年1月24日 下午7:19
