来源:TokenInsightResearch
Umee是Cosmos生态中的一条应用型区块链,专注于跨链的DeFi应用场景。该项目在2021年12月成功在CoinList上完成公开发行,集资金额接近3,200万美元。在公开发行之前,项目获得了包括PolychainCapital、AlamedaResearch、CoinbaseVenture、CMSholdings在内的投资机构种子轮融资,金额为630万美元。
跨链超额抵押借贷
Umee是使用CosmosSDK开发的一条PoS区块链,链上第一个应用将会是跨链超额抵押借贷协议。Umee主网在2月16日正式启动,并将接入IBC与Cosmos生态中的其他如Terra,Osmosis等的区块链联通。Umee链会同时接入Cosmos的官方跨链桥GravityBridge与以太坊联通。下图展示了Cosmos生态,Umee链以及以太坊之间的关系。
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
来源:Umee白皮书
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
使用者可以在Umee链这一端存入Cosmos生态的原生通证,例如$ATOM,在以太坊借出ERC-20资产。Umee的DeFi协议将会同时部署在Umee链和以太坊上。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
让我们用Umee白皮书上的一个例子来说明具体的运作机制。当用户A在Umee链上存入价值$150的$ATOM时,A将会赚取利息收入,同时可以选择存入的通证作为抵押品在以太坊上借出$100的ETH。Umee协议需要在Umee链和以太坊均部署智能合约并保证两边都具备足够的流动性,才能允许用户在任何一边存入原生资产,并在另一边借出相应属于该链的原生资产。
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
来源:Umee白皮书
uToken和meToken
当用户在Cosmos端存入资产,该通证会被锁定并铸造一个对应的uToken,例如存入锁定$ATOM将获得uATOM。这与AAVE的模式类似,uToken会累积利息收入逐渐增值。uTokenk可以通过跨链桥在以太坊端作为抵押品进行借贷。
uToken=存入的资产+利息收入
Umme同时允许用户将质押形式的Cosmos生态内的PoS资产作为抵押品,该类型的通证称为meToken。在Cosmos生态中的PoS通证可以通过Umee进行节点质押,获得meToken。meToken自动累积质押的PoS通证获得的质押奖励。从目前白皮书里披露的信息来看,meToken并不会累积利息。所以meToken应该只可以用来作为抵押品,而无法作为借贷服务的标的。
meToken=质押的资产+节点质押奖励
通过Umee进行节点质押可以选择自动将质押奖励清算兑换成另一种资产。例如质押$ATOM,并且用meATOM作为抵押品借出USDC贷款。meATOM累积的质押奖励可以被自动清算为USDC并用来偿还贷款的本金和利息。
通证经济
Umee链的原生通证为$UMEE,用途包括节点质押进行区块链的共识机制,作为交易费用,以及作为治理通证。Umee的应用智能合约会同时部署在Umee链和以太坊上,$UMEE也会同时存在Umee链上及以ERC-20标准作为符合以太坊标准的通证。
$UMEE的初始供给为100亿,总供给量没有上限,具备通胀机制进行调节。
$UMEE的通胀机制根据节点质押的比例调节,通胀率在7%到14%之间。通证持有者可以决定$UMEE回购及销毁的计划,产生通缩效果。
$UMEE在开始阶段解锁量不少,公开发售部分10个月内会全部解锁,每月解锁有大约5,500万通证,考虑公募价格的两个价位$0.06和$0.07,初期抛压可能不小。而私募部分有6个月锁仓期,之后会在18个月内全部解锁。
团队
核心成员包括:
Brent–创始人。曾在Tendermint负责策略部门,是ConsenSys的前30名员工之一。
Aleks–首席工程师。曾是CosmosSDK首席工程师。
Zac–ConsenSys早期员工。
关于Tendermint
Cosmos生态项目的创建者很多都来自于Tendermint,但是有时候Cosmos,Tendermint这些词语的概念比较模糊,在不同的语境下其实代表不同意思。
TendermintInc.是一件注册在美国的公司,其提出了Tendermint共识协议及开发了TendermintCore软件。
另一件重要的公司是注册在瑞士的InterchainFoundation(跨链基金会),其和Tendermint合作支持Cosmos项目。跨链基金会的一个德国分支InterchainGmbH负责维护IBC和TendermintCore。
总结
Cosmos生态中的DeFi应用场景仍然处于初始阶段。通过Umee,Cosmos生态通证的持有者可以以此为抵押品在以太坊中获得资金,使用以太坊中成熟的DeFi产品。未来随着Cosmos生态中DeFi产品的丰富,我们应该也会看到使用以太坊的通证作为抵押品在Cosmos中借贷的应用场景。
点击下载TokenInsight?APP
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。