Beyul Technical Draft: Pre-Testnet Architecture and Disclosure Model
项目名称: Beyul 类型: 隐私公链研究原型(pre-testnet)
文档状态: 技术草案。本文不是协议白皮书、生产协议规范、投资文件、合规意见、安全审计报告、代币发行材料或主网公告。
代币状态: Tokenomics 未定稿,本文不含代币符号、分配或效用设计。测试网代币(如使用)无任何货币价值,且无主网兑换承诺。
规范语言: 英文版(beyul-technical-draft-pretestnet.en.md)为唯一规范版本(canonical);本中文版为对照工作稿,冲突时以英文版为准。
Claims 边界框(请先读这里)
本文档不作出以下任何声明:
- 不声明匿名性、不可追踪性或"绝对安全";
- 不声明生产级零知识安全(当前为开发密钥原型);
- 不声明生产级隐私(当前存取款金额在链上公开);
- 不声明监管批准或"合规 by design";
- 当前设计不包含项目方全局查看密钥;该属性需经开源实现、测试与外部审计验证;
- 无公开测试网、无主网;测试网就绪工作进行中,多节点 runbook 与相关 gate 尚未完成;
- 不承诺代币价值、空投、收益、回报或交易所上市;本文不讨论钱包产品或 DeFi;
- 16 字符披露码不是底层密码学安全凭证(第 7 章)。
1. 摘要
Beyul 是一个处于**研究原型阶段(pre-testnet)**的隐私公链项目,探索"默认隐私 + 用户可控披露"的支付基础设施:交易细节默认不对公众公开,但资产所有者可以自愿、按范围地向指定对象进行披露——以交易披露码(TDC)解释单笔交易,以资产披露码(ADC)披露所选资产快照。
当前已实现的仅是客户端披露码派生原型(经本地测试;公开证据包待固化)以及基于 Cosmos SDK 的链应用原型。端到端的服务端授权、链上验证、ZK 余额证明均未实现;无 trusted setup、无外部审计、无公开测试网或主网;存取款金额当前在链上公开。本草案的目的,是在公开测试网上线前,如实记录架构方向、披露模型与当前边界。
2. 定位与问题
公开账本将支付关系、余额与资金流向暴露给任意观察者;而多数强隐私系统使"选择性披露"难以操作——向一个对象解释一笔交易,往往意味着交出查看全部历史的能力。Beyul 探索的缺口是:把"披露"做成与"隐藏"同等级的一等公民原语,且披露完全由用户发起。
Beyul 不与"完全匿名、不可追踪"叙事竞争,也不以此为目标。
3. 当前状态
| 领域 | 现状 | 说明 |
|---|---|---|
| 链应用 | 原型 | Cosmos SDK / Ignite |
| 共识/验证者模型 | 测试网设计 | CometBFT BFT + PoS 式初始验证者集与 staking 模块;非 PoW;非主网级 PoS 经济安全 |
| Shielded 模块 | 原型 | 存款、取款、花费、viewing key 注册、note 披露 |
| Commitment / Merkle 树 / Nullifier | 原型 | 确定性行为与双花拒绝有测试覆盖 |
| 披露码客户端密钥栈(TDC/ADC 派生) | 原型,本地测试通过 | 公开证据包(commit/CI)待固化 |
| 服务端 grant 栈 / 链上披露验证 / ZK 余额证明 | 未实现 | 计划中 |
| 收支 view key 拆分 / audit key / 披露撤销与过期 | 未实现 | 计划中 |
| Trusted setup / 外部审计 | 未完成 / 未开始 | 生产声明前置条件 |
| 公开测试网 / 主网 | 未部署 | 测试网就绪进行中:多节点 runbook 与相关 gate 未完成 |
| 官方钱包 | 不存在 | 仅开发与测试工具;任何"官方钱包"均为假冒 |
| 代币经济 | 未定稿 | 本文不含代币设计 |
4. 技术模型
原型以 shielded-pool 状态机为核心:资产以 note 表示,链上仅存承诺(commitment),承诺插入 Merkle 承诺树;花费公布 nullifier,重复即拒绝,防双花而不暴露被花费的 note。花费验证接入 Groth16 验证代码——当前使用开发/骨架 verifying key,无 trusted setup,不构成生产 soundness 或隐私。对外标准措辞:「原型包含一条使用开发密钥的 Groth16 验证路径,尚不提供生产级零知识安全。」
5. 隐私模型与当前限制
| 维度 | 目标模型 | 当前原型 |
|---|---|---|
| 屏蔽池内金额与收发关系 | 隐藏 | 原型路径,未达生产 |
| 存款 / 取款金额 | 待设计 | 公开 |
| 交易时间 / 费用侧信道 / mempool | 缓解待设计或范围外 | 未缓解 |
| 验证者排序 / 审查 / MEV | 部分协议外 | 未缓解 |
| 网络层与交易所/桥元数据 | 协议范围外 | 范围外 |
当前原型不是生产级隐私。
6. 密钥与披露模型
权限从高到低:Spend Key(唯一可花费,永不离开用户设备,不参与披露流程)→ Full View Key(只读;计划拆分收/支子密钥)→ Audit Key(计划中:用户自愿签发、限时、限范围、可撤销;非协议强制通道)→ Disclosure Credential(绑定单笔交易或资产快照的最小披露单元)→ 16 字符披露码(入口短码,不是密钥)。
项目方查看权限边界:当前设计不包含项目方 master view key。该属性需通过开源实现、测试与外部审计验证,而非依赖对团队的信任——密钥派生路径随代码开源,任何第三方可审计派生图中不存在通向项目方的分支。外部审计完成前,这是"待验证的设计属性",不是"保证"。
助记词口径(设计文档,非已实现产品):钱包根密钥默认采用 24 词助记词(BIP39),下游密钥经域分离派生(HKDF + domain tags)。助记词不得出现在任何披露流程中;披露码与 link_secret 均不得由助记词单独派生——TDC/ADC grant 应在用户主动披露时由 CSPRNG 与本地授权生成。
7. TDC / ADC 披露原型
7.1 术语与编码
正式术语为「16 字符 Crockford Base32 披露码」(剔除易混淆字符 I/L/O/U,短码熵约 80 bit),可简称「16 字符披露码」。不使用「16 位披露码」「16 位数字披露码」「16 位安全码」等表述——中文「位」易被误读为数字位;纯数字方案(≈53 bit)已因熵预算不足被否决。
「16 字符披露码不是底层密码学安全凭证。它是用户友好的访问入口,真实授权应由高熵 disclosure credential、签名、权限范围、过期时间和验证逻辑共同保护。」
7.2 当前真实状态(必读)
Beyul 拥有的是一个经本地测试的 TDC/ADC 客户端派生原型。端到端的服务端 grant、链上状态验证、ZK 余额证明均为计划项,未实现。因此不得表述为:已实现可验证披露、已能证明资金状况、ADC 已能证明精确余额、披露码可以链上验证。
客户端原型已覆盖(本地测试):双因子 KEK(link_secret + 16 字符码缺一不可)、规范编码、TDC 收发角色绑定、TDC/ADC 域分离(互不可打开)、AEAD 信封与 AAD 防篡改、慢哈希校验子(目标套件 Argon2id,生产适配器待接线)、擦除密钥 crypto-shredding、跨语言冻结向量。
7.3 TDC 与 ADC 语义
| 能力 | 披露什么 | 不披露什么 | 现状 |
|---|---|---|---|
| TDC 交易披露码 | 单笔交易/输出的限定字段,收发角色分离 | 花费权、完整历史、未来交易 | 客户端派生原型;服务端与链上验证未实现 |
| ADC_L1 资产披露码·下界档 | 用户选定的资金证明 / 余额下界声明 | 完整余额、notes、nullifiers、交易对手、历史 | 客户端派生原型;证明系统未实现 |
| ADC_L2 资产披露码·精确档 | 最终化高度上选定资产的精确余额快照 | notes、nullifiers、交易对手、历史 | 仅设计;需完整性来源 + ZK 余额证明 |
披露三难:隐藏所有权的系统无法同时承诺"余额完整、不泄露历史、不交出查看密钥"——用户能证明拥有某些 notes,但无额外完整性来源时无法证明"没有遗漏"。故 ADC 必须分档,且 ADC 披露的就是所选资产集在所选高度的余额,不得描述为"不泄露余额"。
ADC 风险(保持公开):向同一对象重复出示快照会泄露余额变化趋势;净值暴露构成人身安全与胁迫风险(ADC 应默认关闭、显式确认);轮换无法收回对方已见信息。
7.4 披露码 FAQ
| 问题 | 答案 |
|---|---|
| TDC 是什么 | 交易披露码,只披露一笔交易/输出的 scoped 信息 |
| ADC 是什么 | 资产披露码,披露用户选择的资产余额快照 |
| ADC 是否披露余额 | 是——ADC 披露所选余额快照(selected balance snapshot) |
| 披露码能否花钱 | 不能。所有 disclosure credential 必须 canSpend=false(协议层不变量) |
| 披露码是否永久 | 不应默认永久:设计含 expiry / maxViews / 撤销 / 擦除密钥;但撤销完成前,已披露内容应视为不可收回 |
| 披露码如何被保护 | 双因子(link_secret + 16 字符码)、AEAD 信封、AAD 绑定、慢哈希校验子;服务端限流与统一错误响应仍待实现 |
| 披露码是私钥吗 | 不是。它转不走资产,也不能替代 Spend/View/Audit Key;但别乱发——发出去的信息收不回来 |
8. 测试网计划(当前焦点)
8.1 验证者模型
测试网采用 PoS 式 BFT 验证者模型:Cosmos SDK + CometBFT、初始验证者集、staking 模块测试流程。它不是 PoW,也不是主网级 PoS 经济安全——主网经济模型属远期研究,不在本草案范围内。
8.2 测试网就绪状态(如实)
测试网就绪进行中:多节点 runbook 与相关 gate 尚未完成(相关 PR 未全部合并、检查未通过)。在这些 gate 关闭并登记证据前,本项目不使用 testnet-ready 口径。
上线前置清单:证据包闭合、testnet chain-id 与 genesis、验证者接入指南、3+ 节点多节点 runbook、水龙头政策与限流、公共 RPC/API 政策、监控面板、事件响应流程、已知限制清单、参与者命令流、测试代币无价值声明。
8.3 测试网能验证什么 / 不能证明什么
能验证:节点运行与出块、staking 模块流程、水龙头、RPC、监控与事件响应、披露码演示流程、shielded 模块原型流程。 不能证明:生产隐私、主网 PoS 经济安全、代币价值、监管接受度、生产 ZK soundness。测试网上线不得被宣传为"生产验证"。
8.4 参与须知
测试网代币无任何货币价值、无主网兑换承诺;没有官方钱包——参与仅使用官方发布的命令行工具与文档;任何流程都不需要你的助记词进入披露环节,索要助记词的"官方"均为骗子;当前不存在任何代币销售、私募、白名单或空投登记。
9. 威胁模型(保持公开直至缓解)
时间/金额关联、费用侧信道、mempool 观察、验证者排序与审查(未缓解);网络层与桥/交易所元数据(范围外);披露转发不可控、撤销未实现、ADC 时间序列与净值暴露、胁迫签发(未缓解/如实公开);钓鱼与社工、假冒钱包与假冒官方渠道(未缓解,以用户教育与官方渠道清单应对);电路缺陷、trusted setup、外部审计(未验证/未解决/未完成);测试网代币价值混淆与收益混淆(不允许——测试币无价值,任何奖励记账均为模拟)。
10. Roadmap(gate-based,无日期承诺)
每个能力只能处于以下状态之一:Implemented / Local tested / Prototype / Documentation only / Planned / Unverified / Not implemented。任何给不出 commit、CI、测试命令与输出的声明,不得写成已实现。
| 阶段 | 目标 | 退出标准(摘要) |
|---|---|---|
| Phase 0 证据闭合与文档收束 ← 当前阶段 | 证据附录补齐、公开叙事收束到测试网 | 所有已实现声明有证据;无代币/钱包/DeFi/主网暗示 |
| Phase 1 测试网 readiness | 完成 8.2 前置清单 | 3+ 节点 devnet 稳定出块、runbook 可复现、PR checks green |
| Phase 2 公开测试网 | 受控公开实验 | 外部节点可加入、水龙头滥用可控、无主网或收益误导 |
| Phase 3 TDC MVP | 单交易 grant 端到端 | 错码/过期/超额访问行为安全、不泄露 grant 存在性、只返回 scoped fields |
| Phase 4 ADC_L1 | 下界资金证明 | 不被写成精确余额、时间序列风险公开、TDC/ADC 互不可打开 |
| Phase 5 链上披露验证 | root-bound verification | 错链/错 root/错 scope/错 asset 均被拒绝、重放保护 |
| Phase 6 生产 ZK 路线 | 可审计证明系统 | 不再使用 dev VK、外部密码学审计、完成前不得说 production ZK |
| Phase 7 ADC_L2 | 精确余额快照 | 完整性可证、不泄露历史、不变成长期 viewing key |
| Phase 8 外部审计与 pre-mainnet | 主网候选前审查 | 协议/密码学/实现审计、法律审阅、证据包公开 |
顺序不可倒置:测试网 → TDC MVP → ADC_L1 → root-bound verification → production ZK → ADC_L2 → audit → pre-mainnet。
11. 合规边界
Beyul 不是合规方案:不实现 AML、KYC、travel rule、冻结、制裁筛查或报告工作流,不声称"合规 by design"。所有披露由用户发起;协议无强制披露通道;当前设计不包含项目方全局查看密钥(待开源实现与审计验证)。机构与个人应自行评估所在司法辖区对隐私资产的监管立场。
12. 风险声明与 Disclaimer
本文件仅供信息参考,不构成且不应被解释为:任何证券、商品或金融工具的发行或销售要约;投资、法律、税务或财务建议;对任何司法辖区合规性的陈述。本文包含前瞻性陈述(设计目标、测试网计划、路线图),均受重大不确定性影响,实际结果可能与之存在重大差异。
本项目当前没有发行任何代币;测试网代币(如使用)无任何货币价值。参与加密资产网络存在重大风险。请自行研究并咨询专业顾问。任何翻译版本与英文规范版本冲突时,以英文版为准。本 Disclaimer 为通用模板,正式对外发布前须经属地律师审阅。
13. 结论
Beyul 的方向是"默认隐私 + 用户可控披露"。当前可信的资产:链应用原型、经本地测试的 TDC/ADC 客户端派生原型、与实现严格对齐的现状表与威胁模型。当前唯一焦点是公开测试网上线前置条件:证据闭合、多节点 runbook、水龙头与监控、参与者文档。在相应证据存在前,本项目不作主网、代币、生产隐私或合规声明。