威胁与防滥用模型 (Threat Model)
Evidence Market 试图构建的“犯罪证据经济”是对现有社会治理模式的一次重构。任何涉及资金和机密信息的系统,都会面临极端恶意攻击。
我们不依赖于“人性本善”的假设,而是遵循 Web3 的核心原则:让作恶在经济上不划算。以下是系统针对各类核心威胁的防御模型(Threat Model)。
威胁一:敲诈勒索与定向滥用
攻击模型:攻击者利用平台作为敲诈工具,上传并非为了揭露公共利益,而是为了定向勒索某人(如传播私密照片、个人隐私)。
防御机制:
- 黑名单与仲裁 (Blacklist & DAO Arbitration):平台明确规定禁止上传涉及个人隐私(证件、住址、私人财务等)的数据。任何违反规则的 Evidence Box 可以被社区发起挑战,并由 DAO 投票纳入黑名单。
- 销毁与退款 (Burn & Refund):一旦被判定为违规内容,买家可获得全额退款,或者冻结作恶者的收益,彻底摧毁勒索者的经济动机。
- 强制公开的威慑:与传统的私下勒索不同,Evidence Market 的延�迟费用是指数级增长的。即使买家付款,证据最终必然被公开,这意味着敲诈者无法向买家承诺“永远保密”。
结论:Evidence Market 的机制设计天然排斥私下交易,是一个极度糟糕且缺乏确定性的勒索工具,从而在根源上劝退敲诈者。
威胁二:虚假证据攻击 (Oracle Problem)
攻击模型:攻击者利用 Deepfake(深度伪造)或伪造文件,生成假证据并高价上架,试图骗取买家的资金。
防御机制:
- 买家验证期 (Verification Period):买家(通常是被曝光方)是证据真实性最好的验证者。支付底价后,买家会获得解密密钥。如果买家发现证据是假的,可以在“验货期”内向 DAO 发起争议仲裁并申请退款。
- 作恶成本 (Attack Cost):铸造 Evidence Box 需要支付网络 Gas 费。如果遭到买家退款并被 DAO 仲裁判定为造假,攻击者不仅无法获得收益,还会损失初始成本,并被标记为恶意地址。
- Bounty 质押验证:在悬赏模式下,发布方拥有最终验证权。只有提供真实有效的信息,智能合约才会释放悬赏金。
威胁三:合谋攻击 (Collusion)
攻击模型:吹哨人与验证节点、或者吹哨人与买家合谋,试图骗取平台的交易补贴或悬赏奖金。
防御机制:
- 零和博弈:系统的主要资金来源于买家的真金白银(没有无中生有的代币增发补贴买家)。吹哨人与买家合谋“左手倒右手”,不仅毫无利润,还会白白损失给平台的 3% 服务费。
- TEE 盲化处理:节点验证者无法看到被加密的 Evidence Box 内容,因此无法与吹哨人进行基于内容的合谋审核。
威胁四:隐私泄露与身份溯源 (Doxxing)
攻击模型:犯罪势力通过流量分析、区块链资金溯源(分析钱包转账记录)、社会工程学等手段,试图定位匿名吹哨人的真实身份。
防御机制:
- 无感代理网络 (EIP-712, ERC2771 Relayer):吹哨人的真实钱包永远不直接发送链上交易。所有交互通过签名完成,由中继节点代发,切断链上的发起者溯源关联。
- 底层计算隐私 (TEE):即便黑客攻破了前端网站,核心的加解密逻辑运行在 Oasis Sapphire 的硬件可信执行环境 (TEE) 中,内存数据对外绝对隔离。
- 隐私资产流转:吹哨人的收益可通过隐私代币进行结算和转移,外部区块浏览器无法查看其余额与转账记录,形成保护吹哨人的链上“暗池”。
结语:从防御到治理
Evidence Market 的安全观是动态的。没有任何系统在上线第一天就是无懈可击的,但通过经济惩罚(博弈机制)、加密护城河(TEE + 隐私代币) 以及 DAO 的社会层共识(黑名单规则) 的三重叠加,我们将攻击者的作恶成本拉升至极点,从而保障真实吹哨人的安全与利益。