安全公司：黑客规避黑名单监控，操纵傀儡账户攻击EOS

【链得得播报】链得得（微信号：ChainDD）1月24日讯，据降维安全实验室消息，近期，随着利用EOS智能合约进行恶意攻击的愈演愈烈，各项目方都开始将攻击者的合约账户纳入自身的黑名单监控系统，一旦发现是攻击合约“投注”，将不允许其“出千”获利。

但是攻击者发现了新的绕过方式：将未部署合约的白账户的权限(如active)通过updateauth授权给攻击合约的虚拟权限eosio.code，从而可以由攻击合约操纵白帐户来进行“投注”等操作。在项目方看来，“投注”玩家是白帐户，但实际是由攻击合约操纵这个傀儡发起的恶意攻击。

在此，降维安全提示各项目方不仅需要对攻击合约的账户进行管控，更需要对授权其操纵的傀儡账户也纳入管控范围。