diff --git a/docs/券金融平台-软件需求规格.md b/docs/券金融平台-软件需求规格.md index affe450..095a295 100644 --- a/docs/券金融平台-软件需求规格.md +++ b/docs/券金融平台-软件需求规格.md @@ -323,8 +323,20 @@ P = F × (1 - dt) × (1 - rc) | **启用条件** | 注册即默认开通 | 在设置中主动切换(需确认风险提示) | | **区块链可见性** | **完全不可见**(用户界面无任何区块链术语) | 可查看链上地址、交易哈希等 | +**三级资产控制模型:** + +| 级别 | 用户画像 | 区块链可见性 | 平台控制力 | 消费隐私 | +|------|---------|------------|-----------|---------| +| **标准模式**(默认) | 99%普通用户 | 完全不可见 | 平台MPC托管 | 政策保证+审计保证 | +| **提取到外部钱包** | 想自持资产的用户 | 部分可见(持有券) | **平台无关** | **技术保证**(平台不可能获取) | +| **Pro模式** | 加密原生用户 | 完全可见 | 用户完全自控 | **技术保证** | + +> 用户可随时将券从平台提取到任何EVM兼容的外部钱包(MetaMask等)。提取后平台无法查看、干预、冻结该券。用户可直接调用Redemption合约消费,平台技术上不可能获取消费数据——"消费环节平台不介入"的承诺从政策保证升级为技术保证。 + - [ ] **默认标准模式**:注册后平台自动在Genex Chain上创建托管钱包(MPC托管),用户无感知 +- [ ] **券提取到外部钱包**:用户可在"我的券→提取"中将券转移至任意EVM外部钱包地址(需KYC L2+) - [ ] **Pro模式可选**:用户在"设置→高级"中可切换至自托管模式(WalletConnect),需签署风险确认 +- [ ] 提取后的券仍可在Genex Chain上流通、交易、消费(链上资产,不依赖平台) - [ ] 标准模式用户的P2P转移:输入对方手机号/邮箱,平台后台解析为链上地址后执行链上转移 - [ ] 标准模式钱包恢复:通过手机号/邮箱验证 + KYC身份验证即可恢复账户(平台MPC托管,不会丢失) - [ ] 法币通道对接(出入金) @@ -503,7 +515,7 @@ P = F × (1 - dt) × (1 - rc) - [ ] P2P转移≥$3,000时,强制通过平台合约路由(记录双方身份信息后放行) - [ ] 接入Travel Rule协议(如TRISA/TRP/OpenVASP)实现跨平台信息传递 - [ ] 低于$3,000的P2P转移:链上转移自由,但平台持续监控异常模式 -- [ ] 设计约束:方案B下用户自托管券,但P2P转移大额时必须回到平台合约执行,确保Travel Rule合规 +- [ ] 设计约束:Pro模式用户自托管券或用户提取到外部钱包后,P2P转移大额时仍需通过Compliance合约路由执行,确保Travel Rule合规(链级强制,无法绕过) **消费者保护法合规:** - [ ] FTC Act Section 5:禁止不公平或欺骗性商业行为(券描述、定价不得误导) @@ -512,6 +524,7 @@ P = F × (1 - dt) × (1 - rc) - [ ] 退款政策透明化:一级市场购买后的退款权利与流程 - [ ] 发行方虚假宣传监控:平台对券描述与实际兑付内容的一致性负审核责任 - [ ] Gift Card相关法规:CARD Act(信用卡法案中礼品卡条款)——有效期不得少于5年、不得收取休眠费 +- [ ] **CARD Act与Utility Track有效期冲突处理**:Utility Track强制有效期≤12个月(见1.6),而CARD Act要求礼品卡≥5年。需在法律意见书中论证"消费型券≠Gift Card"(券是发行方预付债务工具,非零售商礼品卡),或对符合Gift Card定义的特定券类型豁免12个月限制 **州级合规:** - [ ] 各州Money Transmitter License(MTL)——49个州+DC @@ -874,12 +887,22 @@ P = F × (1 - dt) × (1 - rc) | **查看余额** | 打开"我的余额" | 聚合链上+链下余额 | 查询链上代币余额 | | **查看记录** | 打开"交易记录" | 交易哈希→订单号映射 | 读取链上事件日志 | -- [ ] **手机号/邮箱→地址映射服务**:维护手机号↔链上地址的安全映射表(加密存储) +- [ ] **手机号/邮箱→地址映射服务**:维护手机号↔链上地址的安全映射表(见下方安全方案) - [ ] **Gas代付服务(Paymaster)**:所有标准模式用户的链上操作Gas由平台代付,用户零感知 - [ ] **法币↔稳定币自动转换**:用户用银行卡支付,后台自动完成法币→USDC→链上结算 - [ ] **交易哈希→订单号映射**:用户看到可读的订单号(如GNX-20260209-001234),后台对应链上TX哈希 - [ ] **推送通知翻译**:链上事件(Transfer、Redeem)翻译为用户友好的推送("您的券已转赠成功") +**映射表安全方案(防篡改核心):** + +> 手机号→地址映射表是平台最高价值的安全资产之一。若被篡改(A的手机号指向B的地址),将导致A的券被转给B。必须防止单点篡改。 + +- [ ] **MPC多方签名**:映射记录的创建/修改需多方共同签名(平台服务器 + HSM硬件安全模块 + 第三方审计节点),单方无法篡改 +- [ ] **事务型数据库 + 不可篡改审计日志**:所有映射操作记录在append-only审计链中,任何修改可追溯、可检测 +- [ ] **映射哈希链上锚定**:映射表的Merkle Root定期写入Genex Chain(如每小时/每日),链上哈希 = 防篡改证明,可随时验证映射表完整性 +- [ ] **加密存储**:映射表数据加密存储(AES-256),密钥由HSM管理 +- [ ] **最小权限访问控制**:映射表读写权限严格分离,写操作需多人审批+MPC签名 + #### 4.6.3 术语映射表(全平台执行) > **所有面向用户的界面(App、网站、邮件、客服话术)统一使用左列术语,禁止使用右列术语** @@ -982,7 +1005,7 @@ P = F × (1 - dt) × (1 - rc) - [ ] IPO前12个月完成所有保险采购 - [ ] D&O保险覆盖额度需匹配公司市值 -- [ ] 网络安全险需覆盖数字资产托管风险(方案A模式下平台托管的资产) +- [ ] 网络安全险需覆盖数字资产托管风险(标准模式下平台MPC托管的全部用户资产) ### 6.6 上市后持续合规 @@ -1082,7 +1105,7 @@ P = F × (1 - dt) × (1 - rc) --- -*文档版本: v3.7* +*文档版本: v3.8* *生成日期: 2026-02-09* *来源: 券的金融本质与短期资金募集机制白皮书 (draft v0.1)* -*更新: Web2 UX + Web3基础设施重构——平台托管为默认(3.4.1),手机号/邮箱注册优先(3.6),UX三层架构(4.6),术语映射表(9.2)* +*更新: 三级资产控制模型(标准/提取到外部钱包/Pro,3.4.1),映射表MPC防篡改方案(4.6.2),CARD Act冲突处理(3.7.1),术语统一(方案A/B→标准/Pro)* diff --git a/docs/券金融平台-软件需求规格.pdf b/docs/券金融平台-软件需求规格.pdf index c60cdc5..381dba7 100644 Binary files a/docs/券金融平台-软件需求规格.pdf and b/docs/券金融平台-软件需求规格.pdf differ