一、适用系统范围（Scope）

本 SRC 覆盖以下模块：

1️⃣ MPC 核心 • KeyGen（分布式密钥生成） • Sign（多方签名） • Reshare

2️⃣ 团队与审批系统（重点） • 团队管理 • 成员角色（Owner / Admin / Approver / Signer / Viewer/Private Key Backup Holder）

• 审批流程（Approval Flow / Policy Engine） • 授权规则（阈值、顺序、并行审批）

3️⃣ 客户端 & 接口 • Web / App • SDK / API / gRPC

（4.基础设施权限泄露

• 代码库
• 日志平台等）

⸻

二、漏洞奖励评估原则

奖励只与“是否能破坏团队授权 + MPC 安全假设”有关， 与是否真实转账、资产大小无关。

⸻

三、漏洞等级与基础奖金

🚨 严重（Critical）｜¥50,000 基础

满足任意一条即成立： • 在未满足团队审批条件（人数 / 角色 / 顺序）的情况下： • 生成有效 MPC 签名 • 或可生成完整可用的签名材料 • 可绕过审批系统，直接触发 Sign • MPC 阈值（t-of-n）与团队审批规则同时失效 • 可利用团队成员组合，重构私钥或等价能力

📌 本质：

“人没同意，但系统认为同意了”

⸻