v3.8: Asset withdrawal, mapping security, terminology cleanup

- Three-tier asset control model: Standard / Withdraw to external wallet / Pro (3.4.1)
- Users can withdraw coupons to any EVM wallet, platform becomes irrelevant
- MPC-signed phone→address mapping table with hash anchoring on-chain (4.6.2)
- CARD Act vs Utility Track validity conflict noted with resolution path (3.7.1)
- Fix legacy terminology: 方案A/B → 标准模式/Pro模式

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

docs/券金融平台-软件需求规格.md

@@ -323,8 +323,20 @@ P = F × (1 - dt) × (1 - rc)
 | **启用条件** | 注册即默认开通 | 在设置中主动切换（需确认风险提示） |
 | **区块链可见性** | **完全不可见**（用户界面无任何区块链术语） | 可查看链上地址、交易哈希等 |
 
+**三级资产控制模型：**
+
+| 级别 | 用户画像 | 区块链可见性 | 平台控制力 | 消费隐私 |
+|------|---------|------------|-----------|---------|
+| **标准模式**（默认） | 99%普通用户 | 完全不可见 | 平台MPC托管 | 政策保证+审计保证 |
+| **提取到外部钱包** | 想自持资产的用户 | 部分可见（持有券） | **平台无关** | **技术保证**（平台不可能获取） |
+| **Pro模式** | 加密原生用户 | 完全可见 | 用户完全自控 | **技术保证** |
+
+> 用户可随时将券从平台提取到任何EVM兼容的外部钱包（MetaMask等）。提取后平台无法查看、干预、冻结该券。用户可直接调用Redemption合约消费，平台技术上不可能获取消费数据——"消费环节平台不介入"的承诺从政策保证升级为技术保证。
+
 - [ ] **默认标准模式**：注册后平台自动在Genex Chain上创建托管钱包（MPC托管），用户无感知
+- [ ] **券提取到外部钱包**：用户可在"我的券→提取"中将券转移至任意EVM外部钱包地址（需KYC L2+）
 - [ ] **Pro模式可选**：用户在"设置→高级"中可切换至自托管模式（WalletConnect），需签署风险确认
+- [ ] 提取后的券仍可在Genex Chain上流通、交易、消费（链上资产，不依赖平台）
 - [ ] 标准模式用户的P2P转移：输入对方手机号/邮箱，平台后台解析为链上地址后执行链上转移
 - [ ] 标准模式钱包恢复：通过手机号/邮箱验证 + KYC身份验证即可恢复账户（平台MPC托管，不会丢失）
 - [ ] 法币通道对接（出入金）
@@ -503,7 +515,7 @@ P = F × (1 - dt) × (1 - rc)
 - [ ] P2P转移≥$3,000时，强制通过平台合约路由（记录双方身份信息后放行）
 - [ ] 接入Travel Rule协议（如TRISA/TRP/OpenVASP）实现跨平台信息传递
 - [ ] 低于$3,000的P2P转移：链上转移自由，但平台持续监控异常模式
-- [ ] 设计约束：方案B下用户自托管券，但P2P转移大额时必须回到平台合约执行，确保Travel Rule合规
+- [ ] 设计约束：Pro模式用户自托管券或用户提取到外部钱包后，P2P转移大额时仍需通过Compliance合约路由执行，确保Travel Rule合规（链级强制，无法绕过）
 
 **消费者保护法合规：**
 - [ ] FTC Act Section 5：禁止不公平或欺骗性商业行为（券描述、定价不得误导）
@@ -512,6 +524,7 @@ P = F × (1 - dt) × (1 - rc)
 - [ ] 退款政策透明化：一级市场购买后的退款权利与流程
 - [ ] 发行方虚假宣传监控：平台对券描述与实际兑付内容的一致性负审核责任
 - [ ] Gift Card相关法规：CARD Act（信用卡法案中礼品卡条款）——有效期不得少于5年、不得收取休眠费
+- [ ] **CARD Act与Utility Track有效期冲突处理**：Utility Track强制有效期≤12个月（见1.6），而CARD Act要求礼品卡≥5年。需在法律意见书中论证"消费型券≠Gift Card"（券是发行方预付债务工具，非零售商礼品卡），或对符合Gift Card定义的特定券类型豁免12个月限制
 
 **州级合规：**
 - [ ] 各州Money Transmitter License（MTL）——49个州+DC
@@ -874,12 +887,22 @@ P = F × (1 - dt) × (1 - rc)
 | **查看余额** | 打开"我的余额" | 聚合链上+链下余额 | 查询链上代币余额 |
 | **查看记录** | 打开"交易记录" | 交易哈希→订单号映射 | 读取链上事件日志 |
 
-- [ ] **手机号/邮箱→地址映射服务**：维护手机号↔链上地址的安全映射表（加密存储）
+- [ ] **手机号/邮箱→地址映射服务**：维护手机号↔链上地址的安全映射表（见下方安全方案）
 - [ ] **Gas代付服务（Paymaster）**：所有标准模式用户的链上操作Gas由平台代付，用户零感知
 - [ ] **法币↔稳定币自动转换**：用户用银行卡支付，后台自动完成法币→USDC→链上结算
 - [ ] **交易哈希→订单号映射**：用户看到可读的订单号（如GNX-20260209-001234），后台对应链上TX哈希
 - [ ] **推送通知翻译**：链上事件（Transfer、Redeem）翻译为用户友好的推送（"您的券已转赠成功"）
 
+**映射表安全方案（防篡改核心）：**
+
+> 手机号→地址映射表是平台最高价值的安全资产之一。若被篡改（A的手机号指向B的地址），将导致A的券被转给B。必须防止单点篡改。
+
+- [ ] **MPC多方签名**：映射记录的创建/修改需多方共同签名（平台服务器 + HSM硬件安全模块 + 第三方审计节点），单方无法篡改
+- [ ] **事务型数据库 + 不可篡改审计日志**：所有映射操作记录在append-only审计链中，任何修改可追溯、可检测
+- [ ] **映射哈希链上锚定**：映射表的Merkle Root定期写入Genex Chain（如每小时/每日），链上哈希 = 防篡改证明，可随时验证映射表完整性
+- [ ] **加密存储**：映射表数据加密存储（AES-256），密钥由HSM管理
+- [ ] **最小权限访问控制**：映射表读写权限严格分离，写操作需多人审批+MPC签名
+
 #### 4.6.3 术语映射表（全平台执行）
 
 > **所有面向用户的界面（App、网站、邮件、客服话术）统一使用左列术语，禁止使用右列术语**
@@ -982,7 +1005,7 @@ P = F × (1 - dt) × (1 - rc)
 
 - [ ] IPO前12个月完成所有保险采购
 - [ ] D&O保险覆盖额度需匹配公司市值
-- [ ] 网络安全险需覆盖数字资产托管风险（方案A模式下平台托管的资产）
+- [ ] 网络安全险需覆盖数字资产托管风险（标准模式下平台MPC托管的全部用户资产）
 
 ### 6.6 上市后持续合规
 
@@ -1082,7 +1105,7 @@ P = F × (1 - dt) × (1 - rc)
 
 ---
 
-*文档版本: v3.7*
+*文档版本: v3.8*
 *生成日期: 2026-02-09*
 *来源: 券的金融本质与短期资金募集机制白皮书 (draft v0.1)*
-*更新: Web2 UX + Web3基础设施重构——平台托管为默认（3.4.1），手机号/邮箱注册优先（3.6），UX三层架构（4.6），术语映射表（9.2）*
+*更新: 三级资产控制模型（标准/提取到外部钱包/Pro，3.4.1），映射表MPC防篡改方案（4.6.2），CARD Act冲突处理（3.7.1），术语统一（方案A/B→标准/Pro）*