SWAP:简析去中心化资产管理协议 Enzyme 新版本 Sulu：一站式 DeFi 储蓄商店

Enzyme v2 的核心是安全性、可定制性、可组合性、可升级性以及高 gas 效率，而 Sulu 的新体系结构主要关注可扩展性与可组合性。

原文标题：《DeFi 新玩法丨一文了解去中心化资产管理协议 Enzyme 新版本 Sulu》

2 月 25 日消息，去中心化资产管理协议 Enzyme （原 Melon）继推出其 v2 版本之后，又宣布将在未来几周内发布一个新版本：Sulu，这将是一个一站式 DeFi 储蓄商店。

据悉，Enzyme v2 的核心是安全性、可定制性、可组合性、可升级性以及提高 gas 效率，而 Sulu 的新体系结构，主要关注的是可扩展性以及可组合性，该升级计划的亮点包括：

借款；

金库股份可转让性；

集成 Curve 资产池；

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

集成 Idle；

慢雾：Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息，Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析，攻击者（0x0d0...D00）获利超 1 亿美元，包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊链攻击者将大部分代币转移到两个新钱包地址，并将代币兑换为 ETH，接着将 ETH 均转回初始地址（0x0d0...D00），目前地址（0x0d0...D00）约 85,837 ETH 暂无转移，同时，攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]

集成 AAVE；

集成 Balancer；

支持质押 ETH；

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

多协议流动性挖矿（扩大目前的可能性）；

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

探索向投资组合经理补偿 gas 费用的可能性；

慢雾：Spartan Protocol被黑简析:据慢雾区情报，币安智能链项目 Spartan Protocol 被黑，损失金额约 3000 万美元，慢雾安全团队第一时间介入分析，并以简讯的形式分享给大家参考：

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1，导致兑换池中产生巨大滑点；

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证，但是在添加流动性的时候存在一个滑点修正机制，在添加流动性时将对池的滑点进行修正，但没有限制最高可修正的滑点大小，此时添加流动性，由于滑点修正机制，获得的 LP 数量并不是一个正常的值；

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1，此时池子中的 WBNB 增多 SPT1 减少；

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子，然后进行移除流动性操作；

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币，由于步骤 5，此时会获得比添加流动性时更多的代币；

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount，由于移除流动性时没有和添加流动性一样存在滑点修正机制，移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值；

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP，此后攻击者只要再次移除流动性就能再次获得对应的两种代币；

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB，最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

此前，Enzyme 已支持了贷款功能，而下一个版本它也将支持借款功能。对于持有长期头寸但没有收益的投资组合经理（TradFi 和 DeFi）来说，这是一个非常有用的功能。在 DeFi 中，ETH 是一个很好的例子，就其本身而言，持有它的币收益率几乎为零，但你可能希望长期持有它，因为你相信它将涨到 1 万美元。想象一下，你可以将你的 ETH 作为抵押品来借取 DAI，而现在 DAI 在借贷协议上获得的利息要远高于 ETH。

然后，你可以将 DAI 存入到借贷协议中赚取利息，或者进行流动性挖矿（例如 COMP），可能性是无限的，Enzyme 的目标是在下一个版本中实现它们。

截至目前，任何金库代币份额都是不可转让的，我们知道，很多用户希望能够交易这些代币份额，这样大量的新用例就可以付诸行动了！每个基于 Enzyme 构建的金库都有自己的代币，如果这些代币是可转让的，那么就会有新的用例可以实现。

用例一： 预种子金库

再平衡成本可能会变得相当昂贵！想象一下，如果你从不需要再平衡，或者你只是在一定的时间间隔进行再平衡。其中一个用例是创建让流动性提供者（LP）得到奖励的封闭式池子。这是怎么实现的？

决定一个被动策略；

成立一个早期金库管理人小组，用资金为这个金库预先播种（例如目标 25000 ETH）。

一旦达到目标后，就关闭金库，并禁止任何新的存储用户进入；

将 100 ETH 存入 Gnosis Safe 钱包；

使用 Gnosis-Safe 在 Enzyme 上创建一个金库，并选择一个你想要嵌入的费用选择；

当用户将 50 ETH 存入这个金库后，他就会获得金库代币；

将 50ETH 和 50 金库代币存入 Uniswap 资产池；

Gnosis Safe 将从这个金库以及 Uniswap 资产池赚取到费用；

在 Gnosis Safe 种子存款人之间适当分配费用；

根据需要定期重开设金库，以进行其他播种阶段；

好处：

两种费用收益来源（无论你嵌入的金库费用和流动性费用是多少）；

节省 gas: 由于二级市场的原因，无需定期再平衡；

用户可以在 Uniswap 上购买代币，因此可支付更少的 gas 费用；

用例二：代币化费用以激励早期存储用户

一般来说，人们喜欢在投资前查看基金经理的长期业绩记录。但如果我们为了鼓励早期支持，而把激励过程颠倒过来呢？如果将费用代币化，投资组合经理可以用流动性挖矿奖励激励 LP，这打开的可能性是无限的。

Curve 池一直是 DeFi 流动性的巨大来源，存入 Curve 池并通过提供流动性赚取代币已变得非常有利可图，预计很快 Enzyme 就会支持这一功能。

Idle 为用户提供了一系列风险调整方法，以实现稳定币和 wBTC 的最佳收益。截至目前，Idle 上最好的方案年化收益率高达 44%，而其风险调整收益方法的年收益则达到了 14% 左右。

除此之外，存入这些池子还可以挖取到 IDLE 代币，以进一步提高回报。

贷款功能在 Enzyme v2 上已经实现一段时间了，但目前它还无法访问 AAVE 的 aToken。而在下一个版本中，Enzyme 将允许用户访问整个 aToken 系列。AAVE 的贷款利率和资产范围为金库经理提供了令人兴奋的可能性。

Enzyme 已经支持了 Balancer 流动性一段时间（通过 Paraswap），但项目方也希望增加对池子的支持。这将使用户能够将流动性存入 balancer 池，并获取 LP 奖励。

当前已存在两种形式的封装版 ETH 2.0 质押服务（由 Stakehound 和 Lido 提供），而在下一个版本，Enzyme 也将支持这些质押服务，这样管理者就可以获得额外的收益。

除了在 Uniswap 和 Compound 上进行流动性挖矿之外，Enzyme 还将支持与上述集成相关的更多流动性挖矿协议。

交易成本的 gas 费用通常是来自投资组合经理的钱包。截至目前，这还没有成为一个问题，但我们注意到，大量的社区成员希望将该成本计入金库。这有助于按比例将成本负担分摊到金库中的所有存储用户。

MIP7 的工作已经开始，第一阶段是实施一项简单的资产管理费，这项费用早在九月份就得到了 Enzyme 理事会的批准，后来又在去年底得到了用户代表的认可。这一实施将在接下来的几周内继续进行，同时探索为代币经济可能的第二阶段提出的其他建议，包括 staking、推荐费等。

总的来说，Enzyme 的目标是成为资产存储用户的核心基础设施，这些存储用户希望通过金库获得 DeFi 敞口，其好处是：

更低的交易成本（因为费用是由一群人分摊的）；

减少时间投入（让金库经理掌握各种 DeFi 协议的风险与回报）；

以上就是关于 Sulu 更新的大致内容。

撰文：Mona El Isa翻译：隔夜的粥

标签：SWAPBNBABUWBNBAppleSwapPEPEBNB币MetaBullishWBNB币

Polygon热门资讯