夺宝资金流转 DUOBAO MONEY FLOW · DEPOSIT · SWEEP · HOT-COLD · WITHDRAW

用户在 BSC / TRON 把 USDT 转到自己的 HD 派生地址。地址由 sign-service 持有的 master seed 按 executionChain + uid 派生(BIP44),写入 user_chain_addr.derivation_index,每用户每链一个。

• 链上动作:USDT.transfer → 派生地址 (BEP20 / TRC20)
• 链下动作:TD-16 用户提交 txHash → chain-service verify-claim 绑定
• 安全控制:私钥不出 sign-service 隔离子网;HD 派生函数本地完成,不上链

达到归集阈值后,wallet-service 把派生地址余额归集到平台 热钱包。签名由 sign-service 在隔离子网完成,主链广播由 chain-service 通过出块节点发送。

• 链上动作:USDT.transfer (派生地址 → 热钱包) + 少量 gas 由 gas station 供给
• 链下动作:扫块账本 reconcile;归集失败入死信队列等人工介入
• 安全控制:每笔归集走 sign-service 内部 RBAC,不接受外部 RPC 直签

购票全程不发链上交易:从用户钱包余额扣减 USDT,记入活动奖池子账户。奖池物理位于热钱包,但通过内部账本与平台流动资金严格隔离。

• 链上动作:无
• 链下动作:order-service 落单 → ticket-service 写票 → ledger 扣减用户余额、累加奖池
• 安全控制:DB 行锁 + 幂等键防止重复扣款;余额下界检查在事务里完成

v1.0 默认走 VRF_ONLY:game-service 调用 chain-service,chain-service 通过 BSC 上的 VRFCoordinator 请求 VRF v2.5 随机数,几个区块后回调,链下用 modulo 选号、确定中奖票。

• 链上动作:VRFCoordinator.requestRandomWords → fulfillRandomWords (BSC)
• 链下动作:回调写 vrf_request 表 → game-service 计算中奖号 → 派奖入用户余额
• 安全控制:DrawEngine 接口 + @ConditionalOnProperty 切换;TRON 因 VRF 不在该链上,继续回退 BACKEND 模式

热钱包余额超过上限 → 自动转账到冷钱包(链上 multisig);低于下限 → 触发告警,运营从冷钱包人工补回。冷钱包私钥永远不出多签 + 硬件隔离环境。

• 链上动作:USDT.transfer (热钱包 → 冷钱包) 或反向,签名走 multisig
• 链下动作:wallet-service 监控阈值;Prometheus 告警下限事件
• 安全控制:冷钱包不接受任何线上服务直连;阈值在 Nacos 配置可灰度调整

用户发起提现 → withdraw-service 风控检查(限额、地址黑白名单、KYC 状态)→ 进出款队列 → sign-service 签名 → chain-service 广播。回执确认后扣减余额,失败原路返回。

• 链上动作:USDT.transfer (热钱包 → 用户提现地址)
• 链下动作:出款队列状态机 PENDING → SIGNING → BROADCASTED → CONFIRMED / FAILED
• 安全控制:大额单笔走二审;签名前用 risk 复核;广播失败自动重试 + DLQ 兜底