降維安全實驗室智子區塊鏈監控系統發現 EOS 攻擊的新動向。近期,隨着利用 EOS 智能合約進行惡意攻擊的愈演愈烈,各項目方都開始將攻擊者的合約賬戶納入自身的黑名單監控系統,一旦發現是攻擊合約「投注」,將不允許其「出千」獲利。但是攻擊者發現了新的繞過方式:將未部署合約的白賬戶的權限(如 active)通過 updateauth 授權給攻擊合約的虛擬權限 eosio.code,從而可以由攻擊合約操縱白帳戶來進行「投注」等操作。在項目方看來,「投注」玩家是白帳戶,但實際是由攻擊合約操縱這個傀儡發起的惡意攻擊。在此,降維安全提示各項目方不僅需要對攻擊合約的賬戶進行管控,更需要對授權其操縱的傀儡賬戶也納入管控範圍。