区快洞察消息,据慢雾区情报,基于 EOS 的去中心化应用(DApp) EOSPlay 中的 DICE 游戏于昨晚遭受新型随机数攻击,损失数万 EOS,目前项目方已经把游戏暂停。经过慢雾安全团队的分析,发现攻击者(账号:muma******mm)可能使用下列方式达到攻击目的:1、攻击者为自己和项目方租用了大量的 CPU;2、攻击者发大量 defer 交易;3、由于以上两点原因,导致 CPU 价格被拉高,从而导致其它用户 CPU 不足;4、因为 CPU 不足的原因,其他用户难以发送交易,攻击者得以使用自己交易占满区块;5、根据提前构造的交易内容,攻击者可以成功预测出区块哈希。由于项目方采用的是使用未来区块 id 的方式开奖,通过控制区块内的交易内容,就能控制区块信息,进而控制区块 id,达到预测开奖结果的目的。慢雾安全团队建议 DApp 开发者使用更为安全的随机数生成方式,避免遭到随机数攻击。同时,慢雾还特别感谢 WhaleEx 在此次分析过程中提供的帮助。