防御态势
安全采用分层防护,以降低单点失效风险。我们强调纵深防御、最小权限、默认安全的配置、透明度以及持续改进。安全是持续降低风险的过程,并非保证。
纵深防御
多层机制同时保护协议状态与运营方操作。
最小权限
角色与密钥权限收敛到完成任务所需的最小范围。
默认安全
默认配置与部署策略优先保证安全。
透明度
公开报告与链上记录提升可追溯性与可问责性。
持续改进
通过制度、审计与事件复盘持续完善控制措施。
角色与责任
安全责任由建设者、运营方与基金会共同承担。任何单一主体都无法保证绝对安全。职责边界应清晰,链上结果可追溯且可问责。
| 角色 | 职责范围 | 问责依据 |
|---|---|---|
| 核心开发者 | 维护协议代码、审查变更并发布安全公告。 |
受治理通过的变更流程与评审标准约束。 |
| 运营方 | 负责排序器/批次发布、节点基础设施、密钥管理、监控与可用性。 |
受运营方章程要求与网络治理约束。 |
| 基金会 | 发布安全政策、协调漏洞披露并统筹审计范围。 |
受基金会治理与公开报告承诺约束。 |
| 生态建设者 | 确保集成、界面与链下服务的安全。 |
由各自的安全实践与披露政策承担责任。 |
威胁模型范围
明确受保护的对象,以及哪些不在范围内。覆盖重点在协议状态、运营方操作与界面边界,并以链上、按时间排序且可防篡改的记录为基础。
| 攻击面 | 覆盖内容 | 限制 |
|---|---|---|
| 资产 | 协议状态、运营方密钥、桥接网关与权威钱包规则。 |
不覆盖第三方托管或与本链无关的资产。 |
| 信任边界 | 运营方操作、治理动作与参考界面。 |
不延伸到外部服务或链下系统。 |
| 不在范围内 | 外部钱包、交易所与第三方适配器实现。 |
这些部分的安全由各自运营者负责。 |
审计计划
独立审计通过验证代码与假设来降低风险。审计周期涵盖范围界定、评审、修复与披露。
-
范围界定
明确内核、模块与参考工具的范围及关键假设。
-
审计前准备
准备文档、测试以及威胁模型评审材料。
-
独立评审
由审计方识别问题、影响与严重性。
-
修复与披露
在披露前完成修复并验证。
漏洞赏金计划
漏洞赏金为负责任披露提供渠道。范围、奖励与响应预期决定如何处理报告。
范围内目标
可能影响协议状态的 Hub 内核与参考工具。
不在范围内的目标
第三方服务、外部钱包与无关链。
披露流程
规则与响应时限明确报告的处理方式。
Nicolas Turcotte
创始人兼首席工程师
参与共建
Testnet 面向希望公开验证 Hub 的构建者、运营者与治理守护者。
协议工程师
聚焦内核定义、消息范围与不变量。
索引与数据工程师
定义事件模型与可复现的视图输入。
早期运营者
在 Testnet 规则下测试排序器、批量提交与运营范围。
关注基础设施的投资者
跟踪范围、风险与进度(不暗示任何回报)。
法律顾问
审阅边界定位、非托管范围与文件体系顺序。
治理守护者
共同塑造内核与适配器的分层,以及升级策略。
Testnet 访问权限
申请访问以探索 Hub、试用参考界面,并在开发测试网中端到端验证协议行为。任何人都可以申请;本地/开发环境的运营者访问将更严格审核。
需审核后开通。
通讯 仅英文
获取更新
关于 Testnet 准备情况、版本发布与治理里程碑的简要更新。