EOS DApp EOSPlay 遭遇新型随机数攻击

据慢雾区情报，EOS DApp EOSPlay 中的 DICE 游戏于昨晚遭受新型随机数攻击，损失数万 EOS。目前项目方已经把游戏暂停。经过慢雾安全团队的分析，发现攻击者（账号：muma******mm）可能使用下列方式达到攻击目的。 1、攻击者为自己和项目方租用了大量的 CPU 2、攻击者发大量 defer 交易 3、由于以上两点原因，导致 CPU 价格被拉高，从而导致其它用户 CPU 不足 4、因为 CPU 不足的原因，其他用户难以发送交易，攻击者得以使用自己交易占满区块 5、根据提前构造的交易内容，攻击者可以成功预测出区块哈希 由于项目方采用的是使用未来区块 id 的方式开奖，通过控制区块内的交易内容，就能控制区块信息，进而控制区块 id，达到预测开奖结果的目的。慢雾安全团队建议 DApp 开发者使用更为安全的随机数生成方式，避免遭到随机数攻击。同时，特别感谢 WhaleEx 在此次分析过程中提供的帮助。