Movement Aptos Core 已合并机密资产模块的重要协议升级,引入了支持单调纪元追踪的双层审计员模型。该更新建立了在框架级别管理的强制性链级审计员,与现有的每资产审计员机制并行。两个审计员层都现在支持仅追加的历史追踪,能够完整重建任何给定转账时哪些审计员密钥处于活动状态。
新架构
审计员槽位布局已重构以强制固定层级:槽位[0]保留给链级审计员(始终必需),槽位[1]用于资产特定审计员(配置时),槽位[2+]用于发送者选择的自愿审计员。这种确定论性排序通过 Fiat–Shamir 成绩单绑定到每次转账的密码证明中,防止替代攻击。每次机密转账现在都将活跃链级和资产审计员纪元戳到其 `Transferred` 事件上,保留哪些审计员密钥覆盖了哪些转账的不可变记录。
验证和轮换
`validate_auditors` 函数如果链审计员未配置,现在会以新错误(`ECHAIN_AUDITOR_NOT_SET`)中止,并拒绝审计员槽位与其对应活跃密钥不匹配的转账。任一层上的审计员轮换都会使针对旧密钥签名但尚未执行的任何待处理用户交易失效,因为证明的成绩单与审计员身份绑定。协议在 `FAController` 和 `FAConfig` 上追踪纪元计数器和仅追加历史向量,记录所有历史审计员条目的激活和停用纪元。
测试和覆盖
PR 包括全面的测试覆盖:`confidential_asset_tests.move` 中 64 个通过的 Move 单元测试(覆盖链审计员验证、槽位排序、轮换行为和历史追踪),以及 7 个通过的 Rust e2e 测试(验证拒绝路径和轮换场景)。测试工具已更新为包含默认链审计员,新助手支持快乐路径和拒绝场景测试。