UMEE:简析 Umee：Cosmos 生态的跨链 DeFi

来源：TokenInsightResearch

Umee是Cosmos生态中的一条应用型区块链，专注于跨链的DeFi应用场景。该项目在2021年12月成功在CoinList上完成公开发行，集资金额接近3,200万美元。在公开发行之前，项目获得了包括PolychainCapital、AlamedaResearch、CoinbaseVenture、CMSholdings在内的投资机构种子轮融资，金额为630万美元。

跨链超额抵押借贷

Umee是使用CosmosSDK开发的一条PoS区块链，链上第一个应用将会是跨链超额抵押借贷协议。Umee主网在2月16日正式启动，并将接入IBC与Cosmos生态中的其他如Terra，Osmosis等的区块链联通。Umee链会同时接入Cosmos的官方跨链桥GravityBridge与以太坊联通。下图展示了Cosmos生态，Umee链以及以太坊之间的关系。

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

来源：Umee白皮书

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

使用者可以在Umee链这一端存入Cosmos生态的原生通证，例如$ATOM，在以太坊借出ERC-20资产。Umee的DeFi协议将会同时部署在Umee链和以太坊上。

慢雾简析Qubit被盗原因：对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报，2022 年 01 月 28 日，Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示，本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下，在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查，导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]

让我们用Umee白皮书上的一个例子来说明具体的运作机制。当用户A在Umee链上存入价值$150的$ATOM时，A将会赚取利息收入，同时可以选择存入的通证作为抵押品在以太坊上借出$100的ETH。Umee协议需要在Umee链和以太坊均部署智能合约并保证两边都具备足够的流动性，才能允许用户在任何一边存入原生资产，并在另一边借出相应属于该链的原生资产。

Harvest.Finance被黑事件简析:10月26号，据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击，损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。

1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费；

2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT；

3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；

4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC，而铸出的数量计算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC；

5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常；

6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC；

7. 随后攻击者开始重复此过程持续获利；

其他攻击流程与上诉分析过程类似。参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。[2020/10/26]

来源：Umee白皮书

uToken和meToken

当用户在Cosmos端存入资产，该通证会被锁定并铸造一个对应的uToken，例如存入锁定$ATOM将获得uATOM。这与AAVE的模式类似，uToken会累积利息收入逐渐增值。uTokenk可以通过跨链桥在以太坊端作为抵押品进行借贷。

uToken=存入的资产+利息收入

Umme同时允许用户将质押形式的Cosmos生态内的PoS资产作为抵押品，该类型的通证称为meToken。在Cosmos生态中的PoS通证可以通过Umee进行节点质押，获得meToken。meToken自动累积质押的PoS通证获得的质押奖励。从目前白皮书里披露的信息来看，meToken并不会累积利息。所以meToken应该只可以用来作为抵押品，而无法作为借贷服务的标的。

meToken=质押的资产+节点质押奖励

通过Umee进行节点质押可以选择自动将质押奖励清算兑换成另一种资产。例如质押$ATOM，并且用meATOM作为抵押品借出USDC贷款。meATOM累积的质押奖励可以被自动清算为USDC并用来偿还贷款的本金和利息。

通证经济

Umee链的原生通证为$UMEE，用途包括节点质押进行区块链的共识机制，作为交易费用，以及作为治理通证。Umee的应用智能合约会同时部署在Umee链和以太坊上，$UMEE也会同时存在Umee链上及以ERC-20标准作为符合以太坊标准的通证。

$UMEE的初始供给为100亿，总供给量没有上限，具备通胀机制进行调节。

$UMEE的通胀机制根据节点质押的比例调节，通胀率在7%到14%之间。通证持有者可以决定$UMEE回购及销毁的计划，产生通缩效果。

$UMEE在开始阶段解锁量不少，公开发售部分10个月内会全部解锁，每月解锁有大约5,500万通证，考虑公募价格的两个价位$0.06和$0.07，初期抛压可能不小。而私募部分有6个月锁仓期，之后会在18个月内全部解锁。

团队

核心成员包括：

Brent–创始人。曾在Tendermint负责策略部门，是ConsenSys的前30名员工之一。

Aleks–首席工程师。曾是CosmosSDK首席工程师。

Zac–ConsenSys早期员工。

关于Tendermint

Cosmos生态项目的创建者很多都来自于Tendermint，但是有时候Cosmos，Tendermint这些词语的概念比较模糊，在不同的语境下其实代表不同意思。

TendermintInc.是一件注册在美国的公司，其提出了Tendermint共识协议及开发了TendermintCore软件。

另一件重要的公司是注册在瑞士的InterchainFoundation(跨链基金会)，其和Tendermint合作支持Cosmos项目。跨链基金会的一个德国分支InterchainGmbH负责维护IBC和TendermintCore。

总结

Cosmos生态中的DeFi应用场景仍然处于初始阶段。通过Umee，Cosmos生态通证的持有者可以以此为抵押品在以太坊中获得资金，使用以太坊中成熟的DeFi产品。未来随着Cosmos生态中DeFi产品的丰富，我们应该也会看到使用以太坊的通证作为抵押品在Cosmos中借贷的应用场景。

点击下载TokenInsight?APP

标签：UMEEUMEMEEOSMOumee币是国人盘么Instrumental FinanceMEET币Cosmo Coin

以太坊价格热门资讯