hailin
/
gcx
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

v3.9: Complete 6 remaining gaps for near-perfect coverage 

- GNX token securities analysis with Howey Test (1.7)
- Smart contract upgrade strategy: Transparent Proxy + multisig + timelock (4.3.6)
- Security incident response plan: P0-P3 grading, emergency freeze, bug bounty (4.4.2)
- Privacy deletion rights vs blockchain immutability resolution (3.7.3)
- Critical third-party dependencies with backup options (4.7)
- Issuer B-end Web2 UX: template-based coupon creation, no blockchain knowledge needed (3.10.3)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
hailin 2026-02-09 21:14:33 -08:00
parent 9d0b499494
commit 7a247c3a62
2 changed files with 168 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

175
docs/券金融平台-软件需求规格.md
View File

@ -160,6 +160,39 @@ Genex = **券交易领域的区块链基础设施平台先行者**
> **Phase 1只开放Utility Track消费型券不开放Securities Track。完全规避SEC证券合规风险。Securities Track待取得法律意见书和相关牌照后再开放。**
### 1.7 GNX原生代币合规分析
> **券的证券属性已在1.5/1.6中详细分析。但Genex Chain的原生代币GNX本身也可能被SEC认定为证券其影响面比券更大——如果GNX是证券整条链的Gas机制、治理模型、质押经济都会受影响。**
#### Howey Test分析GNX代币
| 要素 | 判断 | 说明 |
|------|------|------|
| 投入资金 | **是** | 用户购买GNX需支付资金 |
| 共同事业 | **是** | GNX价值与Genex平台整体发展直接相关 |
| 期望利润 | **关键** | 质押收益 = 利润预期Gas使用 = 功能性消耗(非利润) |
| 依赖他人努力 | **是** | 平台团队的运营和开发决定GNX价值 |
#### GNX的双重属性
| 用途 | 性质 | 证券风险 |
|------|------|---------|
| **Gas消耗**(支付交易费用) | 功能性使用(消耗品) | **低**——类似"汽油",用了就没了 |
| **治理投票**(参与链参数决策) | 功能性使用(治理权) | **低**——类似"投票权",非利润导向 |
| **质押收益**(验证节点质押获得奖励) | **可能构成投资合同** | **高**——质押获利 = 期望利润 |
| **二级市场交易**交易所买卖GNX | **可能构成投资合同** | **高**——买入持有等升值 = 期望利润 |
#### 合规策略
- [ ] **MVP阶段GNX不上交易所**Phase 1中GNX仅用于Gas平台补贴用户不接触不开放二级市场交易回避证券风险
- [ ] **功能性优先定位**GNX的首要用途是Gas和治理不宣传为"投资品"
- [ ] **质押开放时机**质押功能在取得法律意见书后开放可能需Reg D/Reg S豁免
- [ ] **代币经济设计**:聘请代币经济学顾问和证券律师共同设计,确保功能性消耗占主导用途
- [ ] **参考先例**研究SEC对ETH非证券、BNBSEC诉讼、SOL等代币的分类逻辑
- [ ] 如GNX被归类为证券需调整链经济模型如改为纯Gas代币无质押收益或进行证券注册
> **MVP策略Phase 1中用户完全不接触GNXGas由平台补贴GNX仅作为链内部运行机制。待法律意见书明确GNX分类后再决定是否开放质押和交易。**
---
## 2. 用户角色定义
@ -538,10 +571,32 @@ P = F × (1 - dt) × (1 - rc)
- [ ] 跨境税务合规FATCA
#### 3.7.3 数据隐私合规
**基本要求:**
- [ ] CCPA加州消费者隐私法
- [ ] GDPR如服务欧盟用户
- [ ] 用户数据存储与删除策略
**核心冲突:用户"删除权"vs 区块链不可删除**
> CCPA/GDPR赋予用户"删除个人数据"的权利。但区块链上的交易记录、转移记录不可删除。平台必须在架构设计上解决这一矛盾。
**解决策略:链上仅哈希/地址,明文在链下(可删除)**
| 数据类型 | 存储位置 | 可删除? | 说明 |
|---------|---------|---------|------|
| 用户姓名、手机号、邮箱、身份证 | **链下数据库** | **可删除** | CCPA/GDPR删除请求可执行 |
| KYC资料人脸、证件照片 | **链下数据库** | **可删除** | 同上 |
| 手机号→地址映射 | **链下映射表** | **可删除** | 删除后地址变为"匿名地址" |
| 交易记录TX Hash、金额 | **链上** | **不可删除** | 但链上仅有地址,无个人信息 |
| Travel Rule身份信息 | 链上=**哈希**,链下=**明文** | 链下可删,链上哈希不可逆 | 哈希不构成"个人数据"(不可逆) |
- [ ] **架构原则**链上永远不存储可识别个人信息PII仅存储地址和哈希
- [ ] **删除流程**:用户请求删除 → 删除链下所有PII → 删除映射表记录 → 链上地址变为无法关联到个人的匿名地址
- [ ] **法律论证**:链上地址在映射关系被删除后不再构成"个人数据"参考CNIL/法国数据保护局2018年区块链指南
- [ ] **数据保留例外**AML/BSA法规要求交易记录保留≥5年此期间内不得删除法规要求优先于删除权
- [ ] **隐私告知**:用户注册时明确告知"交易记录将永久保存在区块链上(不含个人信息),这是区块链安全性的核心保障"
#### 3.7.4 数据报表
- [ ] 平台交易日报/月报
- [ ] 发行方兑付率报告
@ -602,11 +657,25 @@ P = F × (1 - dt) × (1 - rc)
- [ ] 多币种支持(法币 + 稳定币)
- [ ] 多地区合规适配
#### 3.10.3 发行方管理后台
- [ ] 券管理(查看、下架、召回)
- [ ] 兑付管理(确认兑付、查看兑付记录)
- [ ] 财务管理(销售收入、提现、对账)
- [ ] 数据仪表盘(实时发行/兑付/流通数据)
#### 3.10.3 发行方管理后台B端Web2体验
> **设计原则:发行方同样不需要了解区块链。发行券 = 在后台"创建优惠活动",链上铸造在后台自动完成。**
**发行方注册与操作流程:**
```
企业注册(营业执照+联系人)→ 资质审核 → 审核通过 → 发行方后台
创建券活动(模板化)→ 设定面值/有效期/使用条件
→ 提交审核 → 平台审核通过 → 自动链上铸造+上架
```
- [ ] 券管理(查看、下架、召回——用户看到的是"活动管理"而非"链上合约操作"
- [ ] 兑付管理(扫码核销/在线核销后台自动调用Redemption合约发行方无感
- [ ] 财务管理(销售收入、提现、对账——法币视图,不展示链上稳定币细节)
- [ ] 数据仪表盘(实时发行/兑付/流通/Breakage数据可视化图表
- [ ] **模板化发券**预设券模板满减券、折扣券、礼品卡、储值券发行方填表即可无需理解NFT/ERC标准
- [ ] **批量操作**:批量发行、批量核销、批量导出数据
- [ ] **消费者数据隔离**:发行方后台仅可见自己发行的券的汇总数据(兑付率、销量),不可见消费者个人信息(合约清算保护)
---
@ -812,7 +881,45 @@ P = F × (1 - dt) × (1 - rc)
└─ 清算结果 └─ 数据分析
```
#### 4.3.6 智能合约升级策略
> **智能合约部署后代码不可修改。如果发现漏洞或需要功能迭代必须有安全的升级机制。同时SOX审计要求所有合约变更有完整审计追踪。**
**升级模式Transparent Proxy透明代理模式**
```
用户/前端 → Proxy合约地址不变存储不变→ Implementation合约可替换
新Implementation升级后
```
- [ ] 核心合约Coupon、Settlement、Compliance等均采用Transparent Proxy模式部署
- [ ] Proxy合约地址固定不变用户和前端不需要感知升级
- [ ] 升级仅替换Implementation合约Proxy存储层资产数据不受影响
**升级治理流程(多签+时间锁):**
```
发起升级提案 → 多签审批3/5多签 → 时间锁等待期48小时 → 自动执行升级
等待期内可紧急取消(安全委员会)
```
- [ ] **多签授权**合约升级需Governance合约3/5多签批准平台核心成员+独立安全审计师)
- [ ] **时间锁Timelock**升级提案通过后强制等待48小时才执行给社区/用户时间审查
- [ ] **紧急升级通道**发现严重安全漏洞时安全委员会可走紧急流程缩短时间锁至4小时需4/5多签
- [ ] **升级前审计**每次升级前必须通过第三方安全审计CertiK/Trail of Bits/OpenZeppelin等
- [ ] **升级日志链上记录**每次升级的提案、投票、执行全部记录在Governance合约事件日志中SOX审计追踪
- [ ] **回滚能力**保留前一版Implementation合约地址紧急情况可回滚至上一版本需多签
**不可升级的合约(安全红线):**
- [ ] CouponFactory中的券类型标记逻辑Utility/Security——类型一旦设定不可修改
- [ ] Coupon合约中的所有权记录——所有权不可被升级操作篡改
- [ ] 链上转售计数器——防止通过升级绕过Utility Track转售次数限制
### 4.4 安全要求
#### 4.4.1 基础安全
- [ ] HTTPS全站加密
- [ ] 敏感数据加密存储
- [ ] 接口签名验证
@ -822,6 +929,38 @@ P = F × (1 - dt) × (1 - rc)
- [ ] 智能合约审计(第三方)
- [ ] 私钥管理方案MPC/HSM
#### 4.4.2 安全事件响应计划Incident Response
> **金融平台必须有完整的安全事件响应计划。保险公司核保、SOX审计、Nasdaq上市审查均会评估IR能力。**
**事件分级:**
| 级别 | 定义 | 响应时限 | 示例 |
|------|------|---------|------|
| **P0紧急** | 资产被盗/合约漏洞被利用 | 立即响应15分钟内启动应急 | MPC密钥泄露、合约被攻击、大规模资产异常转移 |
| **P1严重** | 数据泄露/系统被入侵 | 1小时内响应 | 用户数据泄露、映射表被篡改、管理后台被入侵 |
| **P2中等** | 局部服务异常/可疑活动 | 4小时内响应 | 单一API被攻击、异常登录行为、链上可疑交易模式 |
| **P3** | 潜在风险/安全隐患 | 24小时内评估 | 依赖库漏洞披露、安全扫描告警 |
**P0应急流程**
```
检测到资产异常 → 自动触发紧急冻结Governance合约→ 安全团队15分钟内到位
→ 评估影响范围 → 链上资产冻结(多签确认)→ 取证与根因分析
→ 用户通知≤24小时→ 修复方案 → 事后报告 → 流程改进
```
- [ ] **紧急冻结能力**检测到大规模异常转移时自动触发Governance合约冻结涉案地址需多签确认生效
- [ ] **数据泄露通知**CCPA要求72小时内通知受影响用户和加州总检察长各州时限不同以最严格标准执行
- [ ] **取证与证据保全**:安全事件发生后立即保全日志、链上记录、系统快照,配合执法机构调查
- [ ] **用户沟通**安全事件发生后24小时内通过App推送+邮件+官网公告通知用户,说明影响范围和补救措施
- [ ] **事后报告**每次P0/P1事件后出具事后分析报告RCA纳入SOX内部控制评估
**漏洞披露与Bug Bounty**
- [ ] 建立负责任漏洞披露政策Responsible Disclosure Policy
- [ ] Bug Bounty计划严重漏洞奖励$10K-$100K智能合约漏洞上限更高
- [ ] 与第三方安全平台合作Immunefi/HackerOne
### 4.5 灾难恢复与业务连续性DR/BCP
> **金融交易平台必须具备灾难恢复能力Nasdaq上市审计也会审查BCP**
@ -886,6 +1025,8 @@ P = F × (1 - dt) × (1 - rc)
| **消费** | 出示券码/扫码核销 | 调用Redemption合约 | 合约清算+券销毁 |
| **查看余额** | 打开"我的余额" | 聚合链上+链下余额 | 查询链上代币余额 |
| **查看记录** | 打开"交易记录" | 交易哈希→订单号映射 | 读取链上事件日志 |
| **发行券**B端 | 填写券模板,点"发布" | 调用CouponFactory合约铸造 | 链上ERC-721/1155铸造 |
| **核销**B端 | 扫码/输入券码,点"核销" | 调用Redemption合约 | 合约清算+券销毁 |
- [ ] **手机号/邮箱→地址映射服务**:维护手机号↔链上地址的安全映射表(见下方安全方案)
- [ ] **Gas代付服务Paymaster**所有标准模式用户的链上操作Gas由平台代付用户零感知
@ -931,6 +1072,26 @@ P = F × (1 - dt) × (1 - rc)
- [ ] Pro模式可直接使用MetaMask等外部钱包操作
- [ ] 标准模式与Pro模式可随时切换自托管→平台托管需转移资产
### 4.7 关键第三方依赖与备选方案
> **平台依赖多个关键第三方服务。任何单一依赖中断都可能导致业务停摆。必须对每个关键依赖有备选方案。**
| 依赖 | 主选方案 | 备选方案 | 中断影响 |
|------|---------|---------|---------|
| **稳定币** | USDCCircle | USDTTether、PYUSDPayPal | 用户无法入金/交易 |
| **跨链桥** | Axelar | Wormhole、LayerZero | 外部链资产无法桥入Genex Chain |
| **KYC供应商** | Jumio/Onfido | Veriff、Sumsub | 新用户无法注册/升级KYC |
| **OFAC名单** | Chainalysis | Elliptic、TRM Labs | 合规筛查中断(必须暂停服务) |
| **法币通道** | 主银行合作方 | 备用支付处理商≥2家 | 法币出入金中断 |
| **MPC钱包服务** | Fireblocks/自建 | Fordefi、Liminal | 标准模式用户无法操作 |
| **Travel Rule协议** | TRISA | TRP、OpenVASP | 大额P2P转移暂停 |
- [ ] 每个关键依赖至少有1个已评估的备选方案
- [ ] 法币通道和OFAC筛查必须有热备自动切换因中断 = 合规违规
- [ ] 稳定币支持多币种USDC+USDT用户可选择降低单一稳定币风险
- [ ] 跨链桥安全评估:桥是历史上最大安全漏洞源,选择时安全性优先于速度
- [ ] 年度供应商评审:评估各依赖方的财务稳定性、安全记录、合规状态
---
## 5. 未来扩展需求(白皮书第八章)
@ -1105,7 +1266,7 @@ P = F × (1 - dt) × (1 - rc)
---
*文档版本: v3.8*
*文档版本: v3.9*
*生成日期: 2026-02-09*
*来源: 券的金融本质与短期资金募集机制白皮书 (draft v0.1)*
*更新: 三级资产控制模型(标准/提取到外部钱包/Pro3.4.1映射表MPC防篡改方案4.6.2CARD Act冲突处理3.7.1术语统一方案A/B→标准/Pro*
*更新: GNX代币合规分析1.7智能合约升级策略4.3.6安全事件响应4.4.2隐私删除权方案3.7.3第三方依赖备选4.7发行方B端UX3.10.3*

BIN
docs/券金融平台-软件需求规格.pdf
View File

Binary file not shown.