降維安全實驗室智子區塊鏈監控系統發現 EOS 攻擊的新動向。近期,隨着利用 EOS 智能合約進行惡意攻擊的愈演愈烈,各項目方都開始將攻擊者的合約賬戶納入自身的黑名單監控系統,一旦發現是攻擊合約「投注」,將不允許其「出千」獲利。但是攻擊者發現了新的繞過方式:將未部署合約的白賬戶的權限(如 active)通過 updateauth 授權給攻擊合約的虛擬權限 eosio.code,從而可以由攻擊合約操縱白帳戶來進行「投注」等操作。在項目方看來,「投注」玩家是白帳戶,但實際是由攻擊合約操縱這個傀儡發起的惡意攻擊。在此,降維安全提示各項目方不僅需要對攻擊合約的賬戶進行管控,更需要對授權其操縱的傀儡賬戶也納入管控範圍。
Bitcoin
$68,307.78
-278.34
(-0.41%)
Ethereum
$3,899.66
-9.97
(-0.26%)
Litecoin
$83.64
-1.06
(-1.25%)
DigitalCash
$30.43
+0.16
(+0.52%)
Monero
$143.00
+0.11
(+0.08%)
Nxt
$0.00
-0
(-28.9%)
Ethereum Classic
$31.37
-0.48
(-1.51%)
Dogecoin
$0.16
-0
(-2.4%)
ZCash
$26.62
-0.38
(-1.42%)
Bitshares
$0.00
-0
(-1.41%)