# BEYUL 白皮书 — 测试网前版本：架构与披露模型

**BEYUL Whitepaper — Pre-Testnet Edition: Architecture and Disclosure Model**

**项目名称：** BEYUL　**类型：** 隐私公链研究原型（pre-testnet）。BEYUL 协议工作当前在 `privacychain` 仓库中开发。
**文档状态：** BEYUL 白皮书，**测试网前（研究）版本**——描述协议架构、披露模型与公开测试网前的当前边界。本文**不是**生产协议规范、投资文件、合规意见、安全审计报告、代币发行材料或主网公告。能力声明遵循 §3.1 的证据纪律；任何条目都不被描述为高于其真实成熟度。
**代币状态：** Tokenomics 未定稿。**BYL** 仅为项目简称 / ticker；它**不是**已冻结的 denomination——denomination 与链参数仍待 Owner 明确批准。本文不定义代币分配或效用设计。测试网代币（如使用）无任何货币价值，且无主网兑换承诺。
**规范语言：** 英文版（`beyul-whitepaper-pretestnet.en.md`）为唯一规范版本（canonical）；本中文版为对照工作稿，冲突时以英文版为准。

---

## Claims 边界框（请先读这里）

本文档**不**作出以下任何声明：

- 不声明匿名性、不可追踪性或"绝对安全"；
- 不声明生产级零知识安全（当前为开发密钥原型）；
- 不声明生产级隐私（当前存取款金额在链上公开）；
- 不声明监管批准或"合规 by design"；
- 当前设计不包含项目方全局查看密钥；该属性需经开源实现、测试与外部审计验证；
- 无公开测试网、无主网；**测试网就绪工作进行中，多节点 runbook 与相关 gate 尚未完成**；
- 不承诺代币价值、空投、收益、回报或交易所上市；本文不讨论钱包产品或 DeFi；
- 16 字符披露码不是底层密码学安全凭证（第 7 章）。

**命名与技术标识。** BEYUL 是项目/产品名称；BEYUL 协议工作当前在 `privacychain` 仓库中开发。`privacychain` 仍是当前技术标识——仓库、协议/模块/proto 包、二进制与 chain-id——本文予以保留、不更改。**BYL** 是短称 / ticker；denomination 与链参数仍待 Owner 明确批准，故 BYL 不等于已冻结 denomination。该命名纪律仅向前适用：历史文档不追溯重命名。

---

## 1. 摘要

BEYUL 是一个处于**研究原型阶段（pre-testnet）**的隐私公链项目，探索"**默认隐私（设计目标）** + 用户可控披露"的支付基础设施。在目标设计下，交易细节默认不对公众公开，但资产所有者可以自愿、按范围地向指定对象进行披露——以交易披露码（TDC）解释单笔交易，以资产披露码（ADC）披露所选资产快照。"默认隐私"描述的是设计目标，而非当前原型能力（见 §5）。

**当前已实现的仅是客户端披露码派生原型**（经本地测试；公开证据包待固化）以及基于 Cosmos SDK 的链应用原型。端到端的服务端授权、链上验证、ZK 余额证明均未实现；无 trusted setup、无外部审计、无公开测试网或主网；存取款金额当前在链上公开。本白皮书（测试网前版本）的目的，是在公开测试网上线前如实记录架构方向、披露模型与当前边界——并仅在相应证据与审计齐备时由生产版本取代。

## 2. 定位与问题

公开账本将支付关系、余额与资金流向暴露给任意观察者；而多数强隐私系统使"选择性披露"难以操作——向一个对象解释一笔交易，往往意味着交出查看全部历史的能力。BEYUL 探索的缺口是：把"披露"做成与"隐藏"同等级的一等公民原语，且披露完全由用户发起。

BEYUL 不与"完全匿名、不可追踪"叙事竞争，也不以此为目标。

**愿景。** 公开账本上的金融隐私是倒置的：默认全裸，而遮掩反而显得可疑。BEYUL 的目标是把这一默认翻转——隐私是默认状态，披露是用户主动、细粒度的选择：披露哪一笔、哪些字段、给谁、多久。

**设计原则。** 协议每一部分都受以下原则约束：

1. **披露是一等公民**——披露原语与隐藏原语同等级设计、同等级原型化。
2. **权限最小化**——每个密钥、每份凭证只携带其用途所需的最小权限。
3. **花费权神圣**——任何披露流程都不得触碰花费权；助记词不进入任何披露环节。
4. **无全局特权**——协议被**设计为**不向项目方或任何第三方提供全局查看通道；不存在任何此类分支是一项**待由开源实现、测试与外部审计验证的设计属性（§6）**，尚非保证。
5. **边界诚实**——每项能力都声明它不做什么；威胁模型与限制清单保持公开。
6. **证据先行**——能力声明只在证据（代码、测试、审计）存在后升级——gate-based，不承诺日期。

### 2.1 BEYUL 的披露与现有方案对比

> 本表以 BEYUL 的**目标设计** 对比其他系统的**当前已上线能力**。BEYUL 下列差异点（过期、撤销、共识强制可见性、按交易/按快照范围化 + 服务端与链上验证）多为**计划或客户端原型**（见 §3、§7），尚未上线。竞品事实从严陈述，本稿未独立复核的细节标【待核实】。

| 系统 | 披露机制 | 粒度 | 可过期/可撤销 | 可见性由谁强制 |
|---|---|---|---|---|
| Zcash (Sapling/Orchard) | 完整查看密钥（FVK/IVK） | 账户级、全有或全无 | 否 | 出账可见性依赖钱包约定（ovk 加密密文），非共识强制 |
| Monero | view key | 账户级（入账） | 否 | 钱包/协议；无范围化按交易原语 |
| Tornado 类混币 | 原生无（依赖外部工具，如关联/排除证明） | — | — | — |
| Penumbra | 分层 viewing key（FVK/IVK/OVK）+ 每地址 detection key（FMD / S-FMD） | viewing key 账户级；detection key = **收款方发现**（仅给关联、不给内容），可按地址细粒度委派 | 官方文档未述【待核实】 | 密码学密钥委派（客户端/钱包），非共识 |
| Aztec | 收/发 + **master** viewing key；**tagging-based** note discovery（非 FMD）；加密日志 | master viewing key **跨所有合约全有或全无**；范围化/临时披露仅能在应用层（Noir）自行实现，非协议原生 | 仅作应用层"临时查看权"，非原生【待核实】 | 应用/合约逻辑 + 客户端（PXE），非基础共识 |
| Namada (MASP) | shielded viewing key（zvknam），Sapling 血统多资产 | **账户级**（单个 shielded 账户的收支余额与历史）；"选择性披露"=分享 viewing key（整账户），非按交易 | 分享的 viewing key 不可原生撤销（精确语义【待核实】） | viewing key（钱包/客户端） |
| **BEYUL（目标设计）** | **TDC**（按交易）+ **ADC**（按资产快照），**分级**（ADC L1/L2） | 按交易/按快照；字段级范围；收发角色分离 | **过期 + 撤销（计划中）** | **共识强制可见性边界（设计要求，§6）；双因子 + 只读** |

核心差异不在"藏得更深"，而在**更细粒度、可定时、用户签发的披露**：Zcash/Monero 的查看密钥是账户级、全有或全无、无限期的只读授权；而 BEYUL 的披露凭证绑定单笔交易（TDC）或单个资产快照（ADC），带过期、设计上可撤销，且可见字段集由**共识**而非钱包约定强制。以上均为设计目标，实现状态在 §3、§7 如实标注。

> **来源说明。** Zcash/Monero：本项目 ZEC/XMR 深度研究报告（一手源——Zcash 协议规范、Monero 文档；截至 2026-06-12）。Penumbra / Aztec / Namada 三行描述各项目**官方文档截至 2026-06 所述**（Penumbra：protocol.penumbra.zone — viewing keys、FMD；Aztec：docs.aztec.network — keys、note discovery；Namada：docs.namada.net — shielded accounts）。仍标【待核实】项——Penumbra 的过期/撤销与 transaction-perspective 语义、Aztec 的原生过期/撤销、Namada 的精确撤销语义——待确认。以上各行陈述的是各项目文档所述，并非断言其他系统"做不到"。

## 3. 当前状态

| 领域 | 现状 | 说明 |
|---|---|---|
| 链应用 | 原型 | Cosmos SDK / Ignite |
| 共识/验证者模型 | 测试网设计 | CometBFT BFT + PoS 式初始验证者集与 staking 模块；非 PoW；非主网级 PoS 经济安全 |
| Shielded 模块 | 原型 | 存款、取款、花费、viewing key 注册、note 披露 |
| Commitment / Merkle 树 / Nullifier | 原型 | 确定性行为与双花拒绝有测试覆盖 |
| 披露码客户端密钥栈（TDC/ADC 派生） | 原型，本地测试通过 | **公开证据包（commit/CI）待固化** |
| 服务端 grant 栈 / 链上披露验证 / ZK 余额证明 | 未实现 | 计划中 |
| 收支 view key 拆分 / audit key / 披露撤销与过期 | 未实现 | 计划中 |
| Trusted setup / 外部审计 | 未完成 / 未开始 | 生产声明前置条件 |
| 公开测试网 / 主网 | 未部署 | **测试网就绪进行中：多节点 runbook 与相关 gate 未完成** |
| 官方钱包 | 不存在 | 仅开发与测试工具；任何"官方钱包"均为假冒 |
| 代币经济 | 未定稿 | 本文不含代币设计 |

### 3.1 证据链

上表每条「原型，本地测试通过」都绑定一条证据记录，而非以散文断言。证据链（commit hash、CI 记录、确切测试命令与输出、可复现运行说明）由 **证据附录（Evidence Appendix）** 承载，每项能力按科研成熟度 **L0–L5** 分级（设计 → 原型 → 可复现 → 已评审 → 网络证据 → 生产）。本白皮书引用该登记册，而非复述原始证据。

| 能力 | 成熟度 | 证据绑定 |
|---|---|---|
| 披露码客户端核心（TDC/ADC 派生、双因子、域分离、AEAD/AAD、擦除密钥、向量） | L1–L2 | 2026-06-19 只读复现：**13/13** 本地测试通过；commit 登记于证据附录 E1；CI **【待补充】** |
| Shielded 模块（commitment/nullifier/Merkle、双花拒绝） | L1 | 2026-06-19 只读复现：双花与 nullifier 测试通过；证据附录 E3；CI **【待补充】** |
| Groth16 花费路径 | L1（dev-key） | dev/骨架 VK，无 trusted setup；dev 路径 + 生产 VK 守卫测试已于 2026-06-19 复现；证据附录 E4 |
| 服务端 grant 栈 / 链上验证 / ZK 余额证明 | L0（计划中） | 未实现；见路线图 §10 |

> 当前自评：多数材料 **L1–L2**，无一达 L5。在证据附录条目补齐（commit/CI）前，对外材料只能说"本地验证通过，公开证据包待固化"，不得说"已实现且有公开证据"。任何能力不得被描述为高于其成熟度等级。证据附录位于 `docs/evidence-appendix.md`（内部；将随公开证据包发布）；E1/E3/E4 已于 2026-06-19 只读复现，CI 绑定仍待补。

## 4. 技术模型

原型以 shielded-pool 状态机为核心。对非密码学读者，一笔隐私余额的生命周期如下：

1. **Note（票据）**：可花费余额是一个 *note*——即「所有者、金额、随机数」的记录。note 本身从不上链。
2. **Commitment（承诺）**：链上只存 note 的*承诺*（单向绑定哈希），追加进只增不删的 **Merkle 承诺树**。仅凭承诺，观察者既看不到所有者也看不到金额。
3. **花费 → Nullifier**：花费某 note 时，所有者公布由它派生的 *nullifier*。外部观察者无法把 nullifier 关联回承诺，但它对该 note 是确定的——因此同一 note 只能被作废一次。
4. **双花拒绝**：链维护一个 nullifier 集合，重复的 nullifier 被拒绝。这在**不暴露被花费的是哪个 note** 的前提下防止双花。
5. **有效性证明**：每笔花费携带一个零知识证明——"我拥有某个承诺在树中的 note，且正确派生了它的 nullifier"——而不泄露其中任何值。验证接入 Groth16 路径。

**当前验证器使用开发/骨架 verifying key，无 trusted setup，不构成生产 soundness 或隐私。** 对外标准措辞：「原型包含一条使用开发密钥的 Groth16 验证路径，尚不提供生产级零知识安全。」note 格式、承诺方案、nullifier 派生与树语义的形式化定义，见黄皮书 §§5–7 与 §10。

### 4.1 为何独立链，为何 Cosmos

披露模型需要对若干事物的控制权，这是在共享 L1 上部署智能合约、或通用 rollup 形态都难以干净获得的：

- **共识强制的披露可见性**（§6）与屏蔽池**供应完整性规则**必须落在状态转换/共识层，而非落在一个其宿主链验证者与费用市场都不受项目控制的合约里；
- **原生屏蔽状态**（承诺树、nullifier 集、value-balance 记账）作为一等链状态比作为合约存储更便宜、更可审计，也避免宿主链的公共 mempool 与元数据模型泄露超出预期；
- **bonded-PoS 验证者集**让供应完整性可被每个全节点重算，并提供适合支付的即时最终性。

选择 **Cosmos SDK + CometBFT** 是为了成熟的 BFT-PoS 栈（含 staking/slashing 模块）、主权升级治理与即时最终性——而非对任何代币模型背书（代币模型未定稿）。这是架构选型理由，不是"独立链已部署"的声明；实际状态见 §3 与 §8。

### 4.2 性能特征

两类数字必须分开。**固有（方案层、可直接引用）**：BN254 曲线上的 Groth16 具有**常数大小证明**（三个群元素——在 BN254 上约数百字节量级）与**常数时间验证**（固定且少量的配对检查，与电路规模无关）。这些源自证明系统本身，而非 BEYUL 的实现。**系统层（尚未实测）**：证明时间、交易吞吐（TPS）、电路规模（约束数）取决于生产电路，而生产电路**尚未构建**——当前路径用 dev/骨架 verifying key（§4）。因此任何此类数字都是 **target / 【待补充】**，待生产电路与 trusted-setup 或透明证明路线就位后再基准测试（路线图 §10，Phase 6）。本线以上不作任何系统层性能数字声明。

## 5. 隐私模型与当前限制

| 维度 | 目标模型 | 当前原型 |
|---|---|---|
| 屏蔽池内金额与收发关系 | 隐藏 | 原型路径，未达生产 |
| 存款 / 取款金额 | 待设计 | **公开** |
| 交易时间 / 费用侧信道 / mempool | 缓解待设计或范围外 | 未缓解 |
| 验证者排序 / 审查 / MEV | 部分协议外 | 未缓解 |
| 网络层与交易所/桥元数据 | 协议范围外 | 范围外 |

**当前原型不是生产级隐私。**

匿名集的形式化框架（屏蔽池匿名集如何定义与界定）维护于黄皮书（§15）；本节陈述隐私目标与当前限制，而非该形式化模型。

## 6. 密钥与披露模型

权限从高到低：**Spend Key**（唯一可花费，永不离开用户设备，不参与披露流程）→ **Full View Key**（只读；计划拆分收/支子密钥）→ **Audit Key**（计划中：用户自愿签发、限时、限范围、可撤销；非协议强制通道）→ **Disclosure Credential**（绑定单笔交易或资产快照的最小披露单元）→ **16 字符披露码**（入口短码，不是密钥）。

**项目方查看权限边界**：当前设计不包含项目方 master view key。该属性需通过开源实现、测试与外部审计验证，而非依赖对团队的信任——密钥派生路径随代码开源，任何第三方可审计派生图中不存在通向项目方的分支。外部审计完成前，这是"待验证的设计属性"，不是"保证"。

**助记词口径（设计文档，非已实现产品）**：钱包根密钥默认采用 24 词助记词（BIP39），下游密钥经域分离派生（HKDF + domain tags）。**助记词不得出现在任何披露流程中**；披露码与 `link_secret` 均不得由助记词单独派生——TDC/ADC grant 应在用户主动披露时由 CSPRNG 与本地授权生成。

**披露可见性边界（设计要求）**：披露凭证的可见范围——包括出账方向——计划由共识层规则而非钱包实现约定保证（吸取 Zcash 出账可见性依赖钱包约定的行业教训）；该要求随链上验证栈（路线图 Phase 5）落地，当前未实现。

## 7. TDC / ADC 披露原型

### 7.1 术语与编码

正式术语为「**16 字符 Crockford Base32 披露码**」（剔除易混淆字符 I/L/O/U，短码熵约 80 bit），可简称「16 字符披露码」。不使用「16 位披露码」「16 位数字披露码」「16 位安全码」等表述——中文「位」易被误读为数字位；纯数字方案（≈53 bit）已因熵预算不足被否决。

> **「16 字符披露码不是底层密码学安全凭证。它是用户友好的访问入口，真实授权应由高熵 disclosure credential、签名、权限范围、过期时间和验证逻辑共同保护。」**

### 7.2 当前真实状态（必读）

BEYUL 拥有的是一个**经本地测试的 TDC/ADC 客户端派生原型**。端到端的服务端 grant、链上状态验证、ZK 余额证明**均为计划项，未实现**。因此**不得**表述为：已实现可验证披露、已能证明资金状况、ADC 已能证明精确余额、披露码可以链上验证。

客户端原型已覆盖（本地测试）：双因子 KEK（`link_secret` + 16 字符码缺一不可）、规范编码、TDC 收发角色绑定、TDC/ADC 域分离（互不可打开）、AEAD 信封与 AAD 防篡改、慢哈希校验子（目标套件 Argon2id，生产适配器待接线）、擦除密钥 crypto-shredding、跨语言冻结向量。

### 7.3 TDC 与 ADC 语义

| 能力 | 披露什么 | 不披露什么 | 现状 |
|---|---|---|---|
| TDC 交易披露码 | 单笔交易/输出的限定字段，收发角色分离 | 花费权、完整历史、未来交易 | 客户端派生原型；服务端与链上验证未实现 |
| ADC_L1 资产披露码·下界档 | 用户选定的资金证明 / 余额下界声明 | 完整余额、notes、nullifiers、交易对手、历史 | 客户端派生原型；**证明系统未实现** |
| ADC_L2 资产披露码·精确档 | 最终化高度上选定资产的精确余额快照 | notes、nullifiers、交易对手、历史 | **仅设计**；需完整性来源 + ZK 余额证明 |

**披露三难**：隐藏所有权的系统无法同时承诺"余额完整、不泄露历史、不交出查看密钥"——用户能证明拥有某些 notes，但无额外完整性来源时无法证明"没有遗漏"。故 ADC 必须分档，且 ADC 披露的就是所选资产集在所选高度的余额，不得描述为"不泄露余额"。

ADC 风险（保持公开）：向同一对象重复出示快照会泄露余额变化趋势；净值暴露构成人身安全与胁迫风险（ADC 应默认关闭、显式确认）；轮换无法收回对方已见信息。

### 7.4 披露码 FAQ

| 问题 | 答案 |
|---|---|
| TDC 是什么 | 交易披露码，只披露一笔交易/输出的 scoped 信息 |
| ADC 是什么 | 资产披露码，披露用户选择的资产余额快照 |
| ADC 是否披露余额 | 是——ADC 披露所选余额快照（selected balance snapshot） |
| 披露码能否花钱 | 不能。所有 disclosure credential 必须 `canSpend=false`（协议层不变量） |
| 披露码是否永久 | 不是。**24 小时有效期是设计默认值，而非当前已强制的属性**——有效期与撤销由未来的 Layer 2 grant 与验证服务强制执行（路线图 Phase 5），当前未强制。设计上凭证受时间限制、用户可配置：更长有效期需显式确认，永久披露不是默认；撤销（一旦强制后）可阻止未来访问，但无法抹除已被查看或复制的信息 |
| 披露码会从助记词派生吗 | 不会。披露凭证为只读，**绝不在钱包创建时自动生成、绝不由助记词派生**，且不能授予花费权（`canSpend=false`）。TDC 为按单笔交易的披露，ADC 为用户主动开启（opt-in）的资产级授权 |
| 披露码如何被保护 | 双因子（`link_secret` + 16 字符码）、AEAD 信封、AAD 绑定、慢哈希校验子；**服务端限流与统一错误响应仍待实现** |
| 披露码是私钥吗 | 不是。它转不走资产，也不能替代 Spend/View/Audit Key；但别乱发——发出去的信息收不回来 |

## 8. 测试网计划（当前焦点）

### 8.1 验证者模型

测试网采用 **PoS 式 BFT 验证者模型**：Cosmos SDK + CometBFT、初始验证者集、staking 模块测试流程。它不是 PoW，也**不是主网级 PoS 经济安全**——主网经济模型属远期研究，不在本白皮书范围内。

### 8.2 测试网就绪状态（如实）

测试网就绪**进行中**：多节点 runbook 与相关 gate 尚未完成（相关 PR 未全部合并、检查未通过）。在这些 gate 关闭并登记证据前，本项目不使用 testnet-ready 口径。

上线前置清单：证据包闭合、testnet chain-id 与 genesis、验证者接入指南、3+ 节点多节点 runbook、水龙头政策与限流、公共 RPC/API 政策、监控面板、事件响应流程、已知限制清单、参与者命令流、测试代币无价值声明。

### 8.3 测试网能验证什么 / 不能证明什么

**能验证**：节点运行与出块、staking 模块流程、水龙头、RPC、监控与事件响应、披露码演示流程、shielded 模块原型流程。
**不能证明**：生产隐私、主网 PoS 经济安全、代币价值、监管接受度、生产 ZK soundness。测试网上线不得被宣传为"生产验证"。

### 8.4 参与须知

测试网代币无任何货币价值、无主网兑换承诺；没有官方钱包——参与仅使用官方发布的命令行工具与文档；**任何流程都不需要你的助记词进入披露环节**，索要助记词的"官方"均为骗子；当前不存在任何代币销售、私募、白名单或空投登记。

### 8.5 治理、升级与经济边界

在测试网前阶段，BEYUL **没有去中心化治理**。协议升级与安全关键 pin——genesis 参数与 **pinned verifying key**——由**初始验证者集 + Owner** 共同控制。这是一个集中化信任模型，如实声明；它仅随网络与治理成熟而逐步去中心化（不设 DAO、不承诺去中心化时间表）。运行验证者本身不授予升级权；pinned VK 与 genesis 仅经"验证者集 + Owner"升级路径变更。

**经济边界。** denom、总量与经济参数属 **Owner 决策——门控，且不在本白皮书定义**（见上方代币状态）。本文不固定任何 denom、总量或代币经济模型。

## 9. 威胁模型（保持公开直至缓解）

按敌手类别组织，对齐黄皮书的敌手模型（A1–A4）。本节为摘要；黄皮书是威胁模型的权威参照，两份文档不得漂移——如有出入，以黄皮书为准。

- **A1 — 被动链上观察者**（只读公开链数据）：公开存取款的金额关联、时间关联、费用/gas 侧信道——**未缓解**。承诺、nullifier、anchor、池净流量账户按设计公开。
- **A2 — 网络/基础设施敌手**（mempool、RPC、验证者排序、IP）：mempool 观察、验证者排序与审查、网络层元数据——**未缓解**（排序/审查部分在协议范围外）；协议外交易所/桥元数据——**范围外**。
- **A3 — 披露侧敌手**（披露接收方或持码者）：接收方转发披露**在密码学上不可控**；撤销**未实现**；重复 ADC 快照的时间序列与净值暴露；胁迫签发——**如实公开、未缓解**。
- **A4 — 端点/社工敌手**（用户设备、钓鱼）：骗取助记词或披露码的钓鱼与社工、假冒钱包与假冒官方渠道——**未缓解**；以用户教育与官方渠道清单应对。

横切未决项：电路缺陷、trusted setup、外部审计——**未验证/未解决/未完成**。测试网代币价值混淆与收益混淆**不允许**——测试币无价值，任何奖励记账均为模拟。

## 10. Roadmap（gate-based，无日期承诺）

> 每个能力只能处于以下状态之一：Implemented / Local tested / Prototype / Documentation only / Planned / Unverified / Not implemented。任何给不出 commit、CI、测试命令与输出的声明，不得写成已实现。

| 阶段 | 目标 | 退出标准（摘要） |
|---|---|---|
| Phase 0 证据闭合与文档收束 **← 当前阶段** | 证据附录补齐、公开叙事收束到测试网 | 所有已实现声明有证据；无代币/钱包/DeFi/主网暗示 |
| Phase 1 测试网 readiness | 完成 8.2 前置清单 | 3+ 节点 devnet 稳定出块、runbook 可复现、PR checks green |
| Phase 2 公开测试网 | 受控公开实验 | 外部节点可加入、水龙头滥用可控、无主网或收益误导 |
| Phase 3 TDC MVP | 单交易 grant 端到端 | 错码/过期/超额访问行为安全、不泄露 grant 存在性、只返回 scoped fields |
| Phase 4 ADC_L1 | 下界资金证明 | 不被写成精确余额、时间序列风险公开、TDC/ADC 互不可打开 |
| Phase 5 链上披露验证 | root-bound verification | 错链/错 root/错 scope/错 asset 均被拒绝、重放保护 |
| Phase 6 生产 ZK 路线 | 可审计证明系统 | 不再使用 dev VK、外部密码学审计、完成前不得说 production ZK |
| Phase 7 ADC_L2 | 精确余额快照 | 完整性可证、不泄露历史、不变成长期 viewing key |
| Phase 8 外部审计与 pre-mainnet | 主网候选前审查 | 协议/密码学/实现审计、法律审阅、证据包公开 |

顺序不可倒置：**测试网 → TDC MVP → ADC_L1 → root-bound verification → production ZK → ADC_L2 → audit → pre-mainnet**。

## 11. 合规边界

BEYUL 不是合规方案：不实现 AML、KYC、travel rule、冻结、制裁筛查或报告工作流，不声称"合规 by design"。所有披露由用户发起；协议无强制披露通道；当前设计不包含项目方全局查看密钥（待开源实现与审计验证）。机构与个人应自行评估所在司法辖区对隐私资产的监管立场。

## 12. 风险声明与 Disclaimer

本文件仅供信息参考，不构成且不应被解释为：任何证券、商品或金融工具的发行或销售要约；投资、法律、税务或财务建议；对任何司法辖区合规性的陈述。本文包含前瞻性陈述（设计目标、测试网计划、路线图），均受重大不确定性影响，实际结果可能与之存在重大差异。

本项目当前**没有**发行任何代币；测试网代币（如使用）无任何货币价值。参与加密资产网络存在重大风险。请自行研究并咨询专业顾问。任何翻译版本与英文规范版本冲突时，以英文版为准。本 Disclaimer 为通用模板，正式对外发布前须经属地律师审阅。

## 13. 结论

BEYUL 的方向是"默认隐私 + 用户可控披露"。当前可信的资产：链应用原型、经本地测试的 TDC/ADC 客户端派生原型、与实现严格对齐的现状表与威胁模型。当前唯一焦点是**公开测试网上线前置条件**：证据闭合、多节点 runbook、水龙头与监控、参与者文档。在相应证据存在前，本项目不作主网、代币、生产隐私或合规声明。