UME:簡析 Umee：Cosmos 生態的跨鏈 DeFi_Qitmeer Network

來源：TokenInsightResearch

Umee是Cosmos生態中的一條應用型區塊鏈，專注于跨鏈的DeFi應用場景。該項目在2021年12月成功在CoinList上完成公開發行，集資金額接近3,200萬美元。在公開發行之前，項目獲得了包括PolychainCapital、AlamedaResearch、CoinbaseVenture、CMSholdings在內的投資機構種子輪融資，金額為630萬美元。

跨鏈超額抵押借貸

Umee是使用CosmosSDK開發的一條PoS區塊鏈，鏈上第一個應用將會是跨鏈超額抵押借貸協議。Umee主網在2月16日正式啟動，并將接入IBC與Cosmos生態中的其他如Terra，Osmosis等的區塊鏈聯通。Umee鏈會同時接入Cosmos的官方跨鏈橋GravityBridge與以太坊聯通。下圖展示了Cosmos生態，Umee鏈以及以太坊之間的關系。

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

來源：Umee白皮書

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

使用者可以在Umee鏈這一端存入Cosmos生態的原生通證，例如$ATOM，在以太坊借出ERC-20資產。Umee的DeFi協議將會同時部署在Umee鏈和以太坊上。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

讓我們用Umee白皮書上的一個例子來說明具體的運作機制。當用戶A在Umee鏈上存入價值$150的$ATOM時，A將會賺取利息收入，同時可以選擇存入的通證作為抵押品在以太坊上借出$100的ETH。Umee協議需要在Umee鏈和以太坊均部署智能合約并保證兩邊都具備足夠的流動性，才能允許用戶在任何一邊存入原生資產，并在另一邊借出相應屬于該鏈的原生資產。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

來源：Umee白皮書

uToken和meToken

當用戶在Cosmos端存入資產，該通證會被鎖定并鑄造一個對應的uToken，例如存入鎖定$ATOM將獲得uATOM。這與AAVE的模式類似，uToken會累積利息收入逐漸增值。uTokenk可以通過跨鏈橋在以太坊端作為抵押品進行借貸。

uToken=存入的資產+利息收入

Umme同時允許用戶將質押形式的Cosmos生態內的PoS資產作為抵押品，該類型的通證稱為meToken。在Cosmos生態中的PoS通證可以通過Umee進行節點質押，獲得meToken。meToken自動累積質押的PoS通證獲得的質押獎勵。從目前白皮書里披露的信息來看，meToken并不會累積利息。所以meToken應該只可以用來作為抵押品，而無法作為借貸服務的標的。

meToken=質押的資產+節點質押獎勵

通過Umee進行節點質押可以選擇自動將質押獎勵清算兌換成另一種資產。例如質押$ATOM，并且用meATOM作為抵押品借出USDC貸款。meATOM累積的質押獎勵可以被自動清算為USDC并用來償還貸款的本金和利息。

通證經濟

Umee鏈的原生通證為$UMEE，用途包括節點質押進行區塊鏈的共識機制，作為交易費用，以及作為治理通證。Umee的應用智能合約會同時部署在Umee鏈和以太坊上，$UMEE也會同時存在Umee鏈上及以ERC-20標準作為符合以太坊標準的通證。

$UMEE的初始供給為100億，總供給量沒有上限，具備通脹機制進行調節。

$UMEE的通脹機制根據節點質押的比例調節，通脹率在7%到14%之間。通證持有者可以決定$UMEE回購及銷毀的計劃，產生通縮效果。

$UMEE在開始階段解鎖量不少，公開發售部分10個月內會全部解鎖，每月解鎖有大約5,500萬通證，考慮公募價格的兩個價位$0.06和$0.07，初期拋壓可能不小。而私募部分有6個月鎖倉期，之后會在18個月內全部解鎖。

團隊

核心成員包括：

Brent–創始人。曾在Tendermint負責策略部門，是ConsenSys的前30名員工之一。

Aleks–首席工程師。曾是CosmosSDK首席工程師。

Zac–ConsenSys早期員工。

關于Tendermint

Cosmos生態項目的創建者很多都來自于Tendermint，但是有時候Cosmos，Tendermint這些詞語的概念比較模糊，在不同的語境下其實代表不同意思。

TendermintInc.是一件注冊在美國的公司，其提出了Tendermint共識協議及開發了TendermintCore軟件。

另一件重要的公司是注冊在瑞士的InterchainFoundation(跨鏈基金會)，其和Tendermint合作支持Cosmos項目。跨鏈基金會的一個德國分支InterchainGmbH負責維護IBC和TendermintCore。

總結

Cosmos生態中的DeFi應用場景仍然處于初始階段。通過Umee，Cosmos生態通證的持有者可以以此為抵押品在以太坊中獲得資金，使用以太坊中成熟的DeFi產品。未來隨著Cosmos生態中DeFi產品的豐富，我們應該也會看到使用以太坊的通證作為抵押品在Cosmos中借貸的應用場景。

點擊下載TokenInsight?APP

Tags：MEEUMEEUMETOKEQitmeer Networkumee幣價格spume幣怎么樣Gro DAO Token

SHIB