让视觉方向先被讨论，再进入正式产品规则。

DID onboarding01

创建 MID 钱包提交资料 · 绑定 MID NFC 卡

提交扫卡

身份入口

DID 申请与资料提交

用于用户还没有 approved DID 的阶段。页面要让钱包价值可见，同时把资产动作明确锁定。

• 第一信号：DID 尚未完成，但路径很清楚。
• 状态：无资料、资料草稿、已提交、资料缺失。
• 后端锚点：did_application、profile_submission、nfc_card_binding。

讨论：DID 批准前，用户应该看到示例余额，还是只看到锁定动作？

Review tracker02

KYCGovernmentMint DID

政府审核中预计下一次更新 · 24-48 小时

追踪支持

可信状态

KYC 与政府审核进度

用于用户等待审核时。设计要降低焦虑，同时让流程看起来官方、已签名、可审计。

• 第一信号：当前审核阶段。
• 状态：KYC 审核、政府审核、已批准、失败、重新提交。
• 后端锚点：review_stage、review_event、issuer_decision。

讨论：我们能显示多少时间信息，又不造成过度承诺？

Home03

MID 已认证MPC 恢复已启用

$2,847.90

发送请求收款

主账户

已认证的日常钱包首页

默认个人首页应该轻松、可用、有金融感，同时保留 MID-first 的产品叙事。

• 第一信号：认证状态，然后是余额。
• 状态：已认证、风险提醒、付款待处理、官方通知。
• 后端锚点：account_summary、asset_balance、security_status。

讨论：Home 之后，Pay 还是 Wallet 应该成为最重要的 tab？

Asset detail04

FCA网络燃料

USDF支付轨道

发送收款收据

资产钱包

FC 资产与外部资产发送/接收

用于 FCA、USDF、BTC、ETH、TRON、SOL 和 BNB。外部资产支持查看、接收和发送，但不做外部链 swap。

• 第一信号：资产角色和网络。
• 状态：地址已准备、网络降级、确认中、发送失败。
• 后端锚点：network_adapter、chain_tx、fee_quote。

讨论：UI 应该多明显地区分 FC 原生资产与外部资产？

Payment request05

250 USDF已认证付款请求

备注：公司服务申报

付款收据

支付流程

付款请求、备注、确认与收据

这是核心支付沟通模型。它可以有人味，但必须结构化、可审计。

• 第一信号：认证对方与金额。
• 状态：已请求、已支付、已取消、收据可用、失败。
• 后端锚点：payment_request、payment_note、receipt。

讨论：付款备注允许自由输入、模板，还是两者都支持？

Scan contact06

扫码加好友付款前验证 MID

添加请求

支付联系人

二维码扫描加好友用于付款

用于用户互相添加付款联系人。它是支付联系人层，不是社交网络。

• 第一信号：联系人身份与认证状态。
• 状态：已扫描、已认证、重复联系人、已阻止、请求已发送。
• 后端锚点：contact、did_lookup、payment_channel。

讨论：昵称和头像应该由用户控制，还是从 DID 派生？

Swap07

FCA→USDF

仅限 FC 生态内外部链 swap 关闭

报价兑换

闭环兑换

只做 FC 生态内 Swap

用于 FC 生态货币和政策允许引入资产之间的兑换。这样钱包聚焦生态服务，而不是交易所。

• 第一信号：允许的交易对与政策提示。
• 状态：报价中、报价过期、政策阻止、已完成。
• 后端锚点：swap_pair、quote、swap_receipt。

讨论：Swap 应该放在 Wallet、Pay，还是独立 tab？

Credential08

地址证明签发方已签名 · 有效

电子驾照分享证明 QR

证明分享

认证中心

卡片式官方证明分享

用于官方卡片和认证证书。交互可以像 Wallet 卡，但必须显示签发方、有效性、授权和证明用途。

• 第一信号：卡片类型和有效性。
• 状态：有效、过期、撤销、可分享、已分享。
• 后端锚点：credential、proof_request、consent_record。

讨论：证明分享应该一次性、限时，还是可重复使用？

IBC invoice09

Blue Cedar Ltd.Director · 可支付

年度申报官方已签名 · 250 USDF

审核支付

企业账户

IBC 官方服务付款

用于公司账户支付官方发票。UI 必须显示公司上下文、操作者角色、发票签名和收据归档。

• 第一信号：当前公司与角色权限。
• 状态：缺少角色、发票待支付、已签名、已支付、已归档。
• 后端锚点：company、role、invoice、company_receipt。

讨论：每次公司付款前，角色权限应该多明显？

Broadcast10

官方通知签发方已认证 · 需要处理

请更新地址证明

查看归档

政府通道

官方广播与系统消息

用于政府或系统性信息可靠触达用户。它应该像已签名的官方信息，不像营销推送。

• 第一信号：已认证签发方与优先级。
• 状态：未读、已读、需要处理、已归档、签发方警告。
• 后端锚点：broadcast、issuer_signature、read_receipt。

讨论：关键通知是否需要用户确认已读？

MPC recovery11

2/3

恢复案件已开启冷静期 · 风险审核

认证继续

恢复优势

基于 MID 的可恢复钱包

用于已认证 MID 持有人丢失设备或密钥访问能力时。页面要表达安全和严谨流程，而不是单纯方便。

• 第一信号：恢复状态和所需证明。
• 状态：已开启、证明待提交、冷静期、已批准、已拒绝。
• 后端锚点：recovery_case、mpc_policy、risk_review。

讨论：如何解释恢复能力，又不让它听起来过于容易？

NFC signing12

MID Card轻触签署身份声明

人类可读签名内容金额 · 网络 · 用途

轻触签名

卡片签名

MID Card 与 Vault Card 签名时刻

用于身份声明、恢复审批或受保护的大额操作。MID Card 证明身份；Vault Card 保护更高价值的钱包签名。

• 第一信号：正在签什么，以及为什么签。
• 状态：需要轻触、检测到卡、签名完成、失败、需要 Vault。
• 后端锚点：signing_session、nfc_challenge、vault_policy。

讨论：哪里最适合向用户解释 MID Card / Vault Card 的区别？

Account switcher13

个人账户MID 已认证 · 日常钱包

IBCBlue Cedar Ltd. · Director

Vault受保护签名账户

切换管理

账户上下文

个人、IBC 和 Vault 账户切换器

用于付款、签名或凭证分享依赖账户上下文的场景。它可以防止用户从错误身份或公司角色下付款。

• 第一信号：当前账户和权限边界。
• 状态：个人账户、IBC 账户、缺少角色、Vault 锁定。
• 后端锚点：account_context、role_grant、vault_policy。

讨论：账户切换器是否应该在每个 tab 都常驻？

Navigation14

HomeWalletPayMID

主导航逻辑Home 看状态 · Pay 做动作 · MID 管信任

扫码付款卡片

信息架构

底部导航与快捷动作模型

用于决定 App 骨架。钱包不应该像交易所，导航要服务身份、支付、凭证和官方服务。

• 第一信号：每个 tab 负责什么任务。
• 状态：新用户、已认证用户、IBC 用户、高风险提醒。
• 后端锚点：feature_flag、account_capability、navigation_state。

讨论：扫码应该是 tab、浮动按钮，还是放在 Pay 里面？

MXCD Future15

MXCD Future政策门控的主权资产轨道

了解提醒我

未来资产叙事

MXCD Future 政策门控资产卡

用于 MXCD 尚未上线前。UI 要建立理解，但不能暗示当前可用、保证发行或投资收益。

• 第一信号：未来、政策门控、当前不可交易。
• 状态：隐藏、教育展示、等待名单、符合资格、已上线。
• 后端锚点：asset_policy、eligibility_state、launch_phase。

讨论：如何表达未来价值，同时不造成过度承诺？

USDF rail16

USDF美元计价轨道

Reference用于美元支付表达

收款使用

稳定支付轨道语言

USDF 作为美元计价支付表达

用于安全、专业地解释 USDF：它是面向美元计价使用的支付轨道，而不是和未来 Montserrat stablecoin 政策冲突的承诺。

• 第一信号：支付用途、计价方式和边界。
• 状态：可用、受限、兑换不可用、政策提示显示。
• 后端锚点：asset_disclosure、rail_policy、conversion_reference。

讨论：风险提示和披露语言应该放在哪里？

Receive external17

BTCETHTRONSOLBNB

收款地址选择网络后再展示 QR

复制QR

外部资产支持

外部网络收款流程

用于接收 BTC、ETH、TRON、SOL 或 BNB。页面必须通过清晰网络选择和确认文案，避免错误网络充值。

• 第一信号：已选网络和充值风险提示。
• 状态：已选网络、地址生成、已复制、QR 已展示。
• 后端锚点：deposit_address、network_adapter、address_policy。

讨论：不支持的网络应该隐藏，还是置灰显示？

Send external18

0.25 ETHTo 0x7a...91f2

网络费$3.42

审核发送

外部发送

外部资产发送确认

用于广播外部链交易前。页面应展示金额、地址、费用、网络、确认预期和不可逆提醒。

• 第一信号：人类可读的发送摘要。
• 状态：地址无效、费用加载、可发送、确认中、完成、失败。
• 后端锚点：send_intent、fee_quote、chain_tx。

讨论：外部资产发送在什么条件下需要 Vault Card 签名？

Merchant QR19

Montserrat Services已认证商户 · 86 USDF

扫码付款

商户付款

商户二维码付款

用于线下收银台或服务窗口付款。钱包应先验证商户身份，再付款，并在结算后生成清晰收据。

• 第一信号：已认证商户和金额。
• 状态：已扫码、商户已认证、金额固定、已付款、收据可用。
• 后端锚点：merchant_profile、checkout_intent、payment_receipt。

讨论：商户二维码应支持小费，还是只支持固定金额？

Split request20

AJM+

分摊 120 USDF3 个付款请求 · MID 已认证

请求追踪

多人付款

分账与多个付款请求

用于小群体付款，但不产生社交聊天。钱包发送结构化付款请求，并追踪谁已经付款。

• 第一信号：分摊金额和已认证收款对象。
• 状态：草稿、已请求、部分支付、完成、过期。
• 后端锚点：payment_batch、payment_request、participant_status。

讨论：多人请求应该显示全部姓名，还是隐私友好的首字母？

Scheduled21

IBC 续期5月28日到期 · 250 USDF

提醒批准付款

计划现在付

未来付款

官方付款计划与提醒

用于官方发票或服务费有到期日的场景。它应该帮助用户避免错过义务，但不能在未经确认的情况下自动划款。

• 第一信号：到期日、金额和审批要求。
• 状态：已计划、已提醒、需要审批、已支付、已错过。
• 后端锚点：scheduled_payment、invoice_due_date、reminder_event。

讨论：计划付款应该自动付款，还是只提醒？

Receipt vault22

付款 · USDF凭证分享IBC 发票

搜索导出

记录

收据保险箱与可搜索活动归档

用于用户信任和客服支持。收据不应该只是隐藏的交易列表，而应该覆盖付款、凭证、恢复和 IBC 服务。

• 第一信号：记录类型和可搜索历史。
• 状态：空、已筛选、已导出、有争议、已归档。
• 后端锚点：receipt、activity_event、export_job。

讨论：收据导出应该支持 PDF、JSON，还是两者都支持？

Fees23

金额250 USDF

网络费0.12 USDF

总计250.12

确认收据

透明度

费用与总成本拆解

用于付款、swap、外部发送或受保护签名。UI 应在提交前让成本可预测。

• 第一信号：总金额和费用来源。
• 状态：报价加载、费用变化、已接受、已过期。
• 后端锚点：fee_quote、quote_expiry、cost_summary。

讨论：每次费用变化是否都要强制重新确认？

Network status24

FC Chain · 正常ETH · 延迟TRON · 正常

详情重试

可靠性

网络状态与服务降级状态

用于网络延迟或不可用时。它要清楚解释影响，避免用户把链上状态误解成钱包故障。

• 第一信号：哪个网络受影响。
• 状态：正常、延迟、暂停、重试中、已恢复。
• 后端锚点：network_status、service_incident、retry_policy。

讨论：服务降级的网络是否应该从 Send 中暂时隐藏？

Risk block25

付款被阻止新设备 · 异常金额

解释原因验证 MID重试

认证支持

风险 UX

可疑付款被阻止状态

用于钱包阻止高风险操作。阻止状态应像保护，而不是随意拦截，并且要给出安全下一步。

• 第一信号：被阻止的动作和原因类别。
• 状态：已阻止、需要增强验证、客服审核、放行、拒绝。
• 后端锚点：risk_signal、policy_decision、step_up_request。

讨论：我们能展示多少风险细节，又不帮助攻击者？

Devices26

iPhone 15 · 已信任MacBook · 新设备旧手机 · 移除

信任移除

安全设置

可信设备与活跃会话

用于让用户理解钱包访问和安全。设备管理应和 MPC 恢复、风险控制连在一起。

• 第一信号：可信设备状态。
• 状态：已信任、新设备、可疑、已移除、恢复锁定。
• 后端锚点：device_session、trusted_device、session_revoke。

讨论：移除设备是否应该触发冷静期？

Support case27

Case #1042恢复审核 · 等待证明

开启审核解决

上传消息

客户体验

恢复或官方服务问题的客服工单

用于客服必须引导用户完成严谨动作的场景。客服沟通也应该结构化、可审计。

• 第一信号：工单状态和用户所需动作。
• 状态：已开启、等待用户、内部审核、已解决、已升级。
• 后端锚点：support_case、case_message、evidence_upload。

讨论：客服消息应该放在类似 Pay 的线程里，还是独立 inbox？

Renewal28

地址证明14 天后过期

更新凭证上传文件 · 签发方审核

更新提醒

凭证生命周期

凭证过期与更新

用于地址证明、驾照、税号和 IBC 证书。钱包应防止凭证静默过期后影响支付或服务。

• 第一信号：过期时间和受影响功能。
• 状态：有效、即将过期、已过期、更新已提交、已更新。
• 后端锚点：credential_expiry、renewal_case、issuer_review。

讨论：过期凭证应该隐藏，还是作为 inactive 卡片保留？

Services29

公司申报地址证明税务记录执照

开始付款

官方服务

政府服务市场

用于官方服务成为钱包动作时。设计要像可信服务柜台，而不是商业应用商店。

• 第一信号：官方服务类别和资格状态。
• 状态：符合资格、锁定、费用待付、表单已开始、已完成。
• 后端锚点：service_catalog、eligibility_check、service_case。

讨论：服务是否应该按个人、IBC 和政府角色分组？

IBC role30

邀请操作者财务经理 · 有限付款角色

查看发票准备付款不可 Vault 签名

邀请批准

公司权限

IBC 角色邀请与批准

用于公司向 director、accountant 或 operator 授权钱包权限。页面必须清楚展示范围和签名限制。

• 第一信号：角色范围和批准路径。
• 状态：已邀请、已接受、等待批准、已生效、已撤销。
• 后端锚点：role_invite、permission_scope、approval_event。

讨论：角色批准需要 MID Card、Vault Card，还是两者都需要？

Vault signing31

Vault Card轻触确认受保护交易

大额发送1,500 USDF · IBC 账户

审核轻触

冷钱包层

Vault Card 大额操作

用于钱包需要 Tangem-like 卡片签名的大额或敏感操作。它和 MID Card 身份证明不是同一件事。

• 第一信号：需要 Vault 和签名摘要。
• 状态：未绑定 Vault、需要轻触、已签名、失败、政策阻止。
• 后端锚点：vault_card、signing_payload、transaction_policy。

讨论：什么额度或风险条件应该触发 Vault Card 签名？

Learning32

为什么 MID-first？身份解锁支付、凭证和恢复。

USDF 是什么？美元计价支付轨道。

下一张完成

上手教育

第一周产品教育卡片

用于早期用户，让钱包差异被清楚理解，而不是做很长的新手教程。教育内容应该像及时卡片，不像营销页面。

• 第一信号：一次只解释一个概念。
• 状态：新用户、已关闭、已完成、因动作重新出现。
• 后端锚点：education_card、onboarding_progress、dismissal_event。

讨论：第一次付款前，哪些概念必须先教给用户？

Setup mode33

MID + MPCMID CardVault Card

推荐方案通过身份验证恢复的钱包。

开始设置对比

钱包创建

钱包创建路径选择器

用于创建钱包前，让用户理解可恢复 MPC 钱包、MID Card 身份签名和 Vault Card 受保护签名之间的区别。

• 第一信号：恢复模型和签名模型。
• 状态：推荐、需要卡片、高级模式、被政策禁用。
• 后端锚点：wallet_setup_mode、key_policy、card_binding_state。

讨论：MPC 是否应该成为普通用户的默认方案？

MID Card34

轻触 MID Card身份密钥激活

扫描绑定

身份硬件

MID Card 首次轻触激活

用于实体 MID Card 成为身份凭证和签名伙伴时。它应该显得很基础，而不是像一个可选冷钱包功能。

• 第一信号：这张卡证明身份，不是资产托管。
• 状态：检测到卡片、需要 PIN、已绑定、卡片不匹配、已阻止。
• 后端锚点：mid_card_binding、nfc_challenge、identity_signature。

讨论：MID Card 设置应该在 DID 审批前还是审批后？

MPC recovery35

MID 证明设备风险冷静期

2/3

继续暂停

可恢复钱包

MPC 恢复仲裁进度

用于用户通过已验证 MID 身份恢复钱包。界面应该展示进度，但不能让恢复显得随意或瞬间完成。

• 第一信号：严格的恢复检查点。
• 状态：已提交、风险审核、冷静期、已批准、已拒绝。
• 后端锚点：mpc_recovery_case、identity_reverification、cooling_period。

讨论：恢复细节应该对用户展示到什么程度？

Freeze36

钱包已冻结对外转账已暂停。

原因用户请求 · 可疑设备。

审核解冻

紧急控制

紧急冻结与解冻

用于用户或风控系统暂停对外转账。可恢复能力必须和快速止损能力配套出现。

• 第一信号：什么被冻结，什么仍可使用。
• 状态：用户冻结、系统冻结、需要审核、等待解冻。
• 后端锚点：wallet_freeze、risk_trigger、unfreeze_approval。

讨论：冻结发送时，收款和凭证使用能否保持可用？

Offline receive37

等待同步离线收款请求已创建。

显示码同步

连接边界

离线收款请求

用于网络不稳定的场景。钱包可以提前生成签名付款请求，并在设备恢复联网后完成对账。

• 第一信号：离线模式和同步状态。
• 状态：离线草稿、已展示、已扫描、已过期、已同步。
• 后端锚点：offline_payment_request、sync_event、request_expiry。

讨论：什么离线额度能兼顾实用和防滥用？

Weak network38

USDF 发送 · 队列中BTC 收款 · 等待中收据 · 已同步

重试详情

可靠性

弱网交易队列

用于 App 无法立即确认网络动作时。设计要避免重复发送，同时让等待状态保持冷静。

• 第一信号：这是排队，不是失败。
• 状态：队列中、广播中、已确认、失败、用户取消。
• 后端锚点：transaction_queue、broadcast_attempt、idempotency_key。

讨论：广播前是否允许用户取消？

Trust tiers39

已验证 MID完整付款信心

已知联系人用户自行确认昵称

未知地址需要额外确认

地址簿

可信联系人等级

用于减少付款错误。联系人不应该只是名字，还应该包含信任信号、身份证明和历史记录。

• 第一信号：已验证的人、已知联系人或原始地址。
• 状态：已验证、用户信任、未验证、已阻止、信息过期。
• 后端锚点：contact_trust_level、did_resolution、address_alias。

讨论：用户是否可以无额外摩擦地支付未知地址？

Pay chat40

晚餐分账？请求 24 USDF已付款

请求收据

支付消息

付款聊天线程

用于我们讨论过的有限聊天层：只支持付款请求、付款备注、收据和简单确认消息。

• 第一信号：这是付款上下文，不是社交聊天。
• 状态：请求已发送、已付款、已拒绝、已过期、已出收据。
• 后端锚点：payment_message、request_status、receipt_event。

讨论：自由文本消息应该禁用，还是限制长度？

Invoice chat41

Invoice #2048已附加到付款请求

应付420 USDF

审核付款

IBC 支付

付款聊天中的发票附件

用于 IBC 在付款对话中发送可支付发票。付款对象应该携带发票数据，而不只是聊天气泡。

• 第一信号：发票身份和应付金额。
• 状态：已附加、已审核、已批准、已付款、有争议。
• 后端锚点：invoice_attachment、payable_request、ibc_payment_case。

讨论：发票审批是否需要独立公司角色？

Export42

三月收据IBC 税务包CSV + PDF

筛选导出

记录

收据导出与税务包

用于用户或 IBC 需要税务、会计或服务证明记录时。它把钱包历史转成真正可用的文件。

• 第一信号：周期、账户和导出格式。
• 状态：已筛选、已生成、已加密、已下载、已分享。
• 后端锚点：receipt_export、statement_period、audit_file。

讨论：官方收据是否应该带验证二维码？

Merchant43

今日
1,240 USDF已付
38

结算USDF 到 FCA 账户。

收款结算

商户模式

商户付款控制台

用于经认证商户频繁接收 USDF 付款。它要足够简单，适合柜台使用，也要足够可审计，适合业务记录。

• 第一信号：今日收款和结算状态。
• 状态：营业中、已收款、退款请求、已结算、已对账。
• 后端锚点：merchant_account、collection_event、settlement_batch。

讨论：商户模式应该在个人钱包内，还是独立入口？

POS44

快速收款12.80 USDF · 90 秒后过期

销售点

柜台 POS 快速收款

用于收银台式付款。屏幕要能从一定距离读清楚，金额、商户证明和过期时间都要可见。

• 第一信号：金额和已验证商户。
• 状态：已创建、已展示、已扫描、已付款、已过期。
• 后端锚点：pos_payment_request、merchant_did、payment_expiry。

讨论：二维码创建后是否允许手动改金额？

Mandate45

月度付款Montserrat Services · 最高 60 USDF

下次扣款May 1

批准限额

周期付款

周期付款授权

用于用户授权可预测的官方或商户付款。授权必须展示上限、频率、取消方式和审计记录。

• 第一信号：谁可以扣款、扣多少、多久一次。
• 状态：待确认、已生效、已暂停、超过额度、已取消。
• 后端锚点：payment_mandate、spending_cap、mandate_event。

讨论：所有周期付款是否都需要 MID Card 确认？

Limits46

操作者限额500 USDF/day

保存审计

委托控制

委托付款限额

用于 IBC 授予运营付款能力，但不授予完整签名权限。这样业务付款可以更快，但边界清楚。

• 第一信号：角色、限额和覆盖审批。
• 状态：草稿、已生效、超额、请求覆盖、已撤销。
• 后端锚点：delegated_limit、role_policy、override_request。

讨论：限额应该按日、按单笔，还是按交易对象设置？

Whitelist47

家庭储备IBC treasury新地址锁定

添加审核

保护规则

受益人白名单

用于用户希望大额付款只能转向可信受益人时。它是比完全冻结钱包更柔和的日常保护机制。

• 第一信号：可信目的地列表。
• 状态：已生效、添加待确认、冷静期、已锁定、已移除。
• 后端锚点：beneficiary_whitelist、destination_policy、cooling_period。

讨论：新增受益人是否应该有 24 小时延迟？

Travel48

主视图USDF

本地显示GBP

开启汇率

旅行使用

旅行模式显示

用于用户在境外时，需要更清楚的本地价值显示，但不改变真实资产或结算逻辑。

• 第一信号：这是显示货币，不是资产兑换。
• 状态：建议开启、已开启、手动货币、已关闭。
• 后端锚点：display_currency、geo_hint、fx_reference_rate。

讨论：旅行模式应该自动开启，还是用户选择开启？

Currency view49

100 USDF$100.00

100 FCA网络资产

更改说明

理解辅助

本地货币显示控制

用于把资产身份和显示货币分开。这样用户理解 USDF、FCA 和外部资产时，不会被误导性的兑换语言干扰。

• 第一信号：资产数量和参考价值是两个层级。
• 状态：美元参考、本地参考、隐藏价值、汇率过期。
• 后端锚点：valuation_display、reference_rate、rate_timestamp。

讨论：参考价值应该多久刷新一次？

Asset detail50

ETH0x7a...91f2

网络Ethereum

复制浏览器

外部资产

资产详情与区块浏览器跳转

用于 BTC、ETH、TRON、SOL 和 BNB 的详情页。外部资产需要清楚展示网络信息和区块浏览器入口。

• 第一信号：资产、网络和地址。
• 状态：已加载、同步中、浏览器不可用、不支持该动作。
• 后端锚点：external_asset_account、chain_indexer、explorer_url。

讨论：非 crypto 用户需要看到多少外部链细节？

Risk copy51

网络错误可能造成损失地址不可撤回先做小额测试

我理解返回

外部资产安全

外部链风险教育

用于首次外部发送或接收前。语气要冷静实用，不要吓人，但风险必须非常明确。

• 第一信号：外部链最终性和网络错配风险。
• 状态：首次提示、已确认、重复提示、已阻止。
• 后端锚点：risk_acknowledgement、chain_warning、policy_block。

讨论：什么时候风险提示应该升级为阻断确认？

Treasury52

Runway8.4 months

付款报告

IBC 财务

IBC 资金概览

用于需要的不只是 token 列表的企业账户。Dashboard 应该展示流动性、待付款和等待审批事项。

• 第一信号：现金位置和付款压力。
• 状态：健康、runway 偏低、等待审批、报告到期。
• 后端锚点：ibc_treasury、payable_summary、cashflow_snapshot。

讨论：资金概览是否对所有公司角色可见？

Batch pay53

12 个收款人2,400 USDFDirector approval

校验提交

企业付款

批量工资付款

用于 IBC 向多个已验证收款人付款。它需要校验、清楚的总金额和强审批记录。

• 第一信号：收款人数、总额和审批要求。
• 状态：草稿、校验错误、可提交、已批准、已付款。
• 后端锚点：batch_payment、recipient_validation、approval_signature。

讨论：每个批量付款是否都需要 Vault Card？

Approval54

OperatorDirectorVault

等待 Director还差 1 个签名。

提醒取消

治理

Director 审批链

用于敏感 IBC 操作。审批链应该清楚展示谁已经操作、下一步是谁、政策为什么要求这样做。

• 第一信号：当前审批人和剩余签名。
• 状态：已发起、等待中、已批准、已拒绝、已过期。
• 后端锚点：approval_chain、signature_requirement、approval_deadline。

讨论：Director 应该在聊天里审批，还是在独立审批 Inbox 里审批？

Official action55

税务申报已开放请在 6 月 30 日前提交

开始归档

政府广播

可行动的政府广播

用于官方消息带有任务、表单或付款动作时。广播应该直接连接到安全的服务流程。

• 第一信号：发布方、截止日期和需要动作。
• 状态：未读、已读、动作已开始、已完成、已逾期。
• 后端锚点：official_broadcast、service_deep_link、deadline_event。

讨论：官方广播是否可以固定在首页？

Emergency56

服务中断FC Chain 延迟 · 资金安全

发送暂停收款延迟状态更新中

公共警报

紧急公共警报状态

用于系统或政府需要传播紧急信息时。它必须足够可见，但不能制造恐慌。

• 第一信号：发生了什么、影响什么、什么仍安全。
• 状态：生效中、已更新、已解决、误报、已归档。
• 后端锚点：incident_alert、service_status、alert_update。

讨论：哪些警报应该覆盖正常钱包导航？

Verify57

电子驾照只展示必要证明

凭证使用

柜台凭证验证

用于用户向个人或机构展示凭证时。屏幕应该清楚说明正在分享什么、隐藏什么。

• 第一信号：凭证类型和披露级别。
• 状态：准备展示、已扫描、已验证、已过期、已取消。
• 后端锚点：credential_presentation、selective_disclosure、verification_event。

讨论：分享前用户是否应看到验证方身份？

Credential pack58

Residency packDID + 地址证明 + 税号

查看分享链接过期

证明组合

凭证组合分享

用于需要多个证明一起提交的场景，例如地址证明、税号和数字居民身份状态。

• 第一信号：组合内容和过期时间。
• 状态：草稿、链接已创建、已查看、已撤销、已过期。
• 后端锚点：credential_bundle、share_link、revocation_event。

讨论：凭证组合应该可复用，还是一次性分享？

Consent59

分享电子驾照撤销地址证明机构已查看

筛选撤销

隐私控制

隐私授权日志

用于让身份分享变得可信。用户应该能看到分享过什么、给谁、什么时候，以及能否撤销。

• 第一信号：披露历史和控制权。
• 状态：授权生效、已撤销、已过期、验证方已查看。
• 后端锚点：consent_record、data_disclosure、revocation_status。

讨论：授权日志是否应该在首页提醒中出现？

Access60

易读模式更大字体 · 更强对比

小易读高对比语音

包容性设计

可访问模式切换

用于年长用户、低视力用户和高压力付款场景。可访问性应该是钱包的一等设置。

• 第一信号：可读性和信心。
• 状态：默认、易读、高对比、语音辅助。
• 后端锚点：accessibility_preference、device_setting_sync、ui_mode。

讨论：重复付款错误后，是否应该建议开启易读模式？

Locale61

English源网站

Chinese镜像

切换术语

语言系统

语言和区域术语

用于保持英文为源网站，同时支持完整中文页面。关键金融术语必须在不同语言之间保持一致。

• 第一信号：语言、区域和法律术语来源。
• 状态：源内容最新、翻译过期、术语待审核。
• 后端锚点：locale_content、term_dictionary、content_version。

讨论：哪些术语需要受控词表审批？

Diagnostics62

付款问题引导检查 · 避免重复发送

设备正常网络延迟可创建工单

修复联系

客服体验

引导诊断和事件状态

用于创建客服工单前。钱包应该帮助用户理解问题来自设备、网络、政策还是服务。

• 第一信号：可能原因和安全下一步。
• 状态：自检、发现问题、已创建工单、关联事件。
• 后端锚点：diagnostic_session、support_case、incident_link。

讨论：哪些诊断可以在本地完成，不上传隐私数据？

Readiness63

DID 就绪MPC 已开启MID Card 已绑定Vault 可选

查看完善

产品就绪度

钱包能力健康中心

用于展示钱包是否已经具备付款、凭证、恢复、IBC 操作和受保护签名的完整能力。

• 第一信号：什么已经可用、缺什么、下一步最重要。
• 状态：完整、部分完成、需要操作、被阻止、推荐完善。
• 后端锚点：wallet_readiness、capability_state、next_best_action。

讨论：这个中心应该出现在首页，还是 Security 里面？

Reverify64

证件过期自拍核验地址证明

开始稍后

身份生命周期

DID 重新验证请求

用于身份材料过期，或高风险动作需要新鲜验证时。文案要坚定，但不能像指责用户。

• 第一信号：为什么需要重新验证。
• 状态：已请求、已开始、已提交、已批准、失败、逾期。
• 后端锚点：reverification_case、proof_expiry、risk_step_up。

讨论：重新验证期间，哪些钱包动作应该受限？

Mismatch65

姓名不一致护照和账户资料存在差异。

修正联系

审核异常

姓名或地址不一致处理

用于提交身份数据与现有资料冲突时。用户应该知道具体要修什么，但不能看到内部风险语言。

• 第一信号：不一致类型和安全修正路径。
• 状态：发现不一致、用户修正、人工审核、已解决、已拒绝。
• 后端锚点：profile_mismatch、correction_request、manual_review。

讨论：哪些不一致细节可以安全展示给用户？

Policy lock66

动作暂不可用发送前需要完成政策审核。

了解原因申诉

政策状态

政策锁定解释

用于动作被政策、资格或合规控制阻止时。设计要说明用户路径，但不能暴露敏感规则。

• 第一信号：被阻止的动作和下一步。
• 状态：已锁定、可申诉、审核中、已解锁、永久限制。
• 后端锚点：policy_lock、eligibility_rule、appeal_case。

讨论：什么样的政策语言最适合公开界面？

Dispute67

付款争议商户未交付服务。

发起证据决定

客户保护

付款争议工单

用于付款本身已经最终确认，但服务或商户关系需要投诉处理时。不要承诺不存在的链上撤回能力。

• 第一信号：争议是服务处理，不是链上反转。
• 状态：已发起、要求证据、商户回应、已解决、已关闭。
• 后端锚点：payment_dispute、evidence_upload、case_decision。

讨论：哪些付款应该支持争议处理？

Refund68

原付款退款收据

已退回86 USDF

商户服务

商户退款与收据冲正

用于商户退款或作废收据时。用户需要清楚看到退款和原始付款之间的关系。

• 第一信号：退款金额和原收据。
• 状态：已请求、已批准、已发送、失败、收据已更新。
• 后端锚点：refund_event、receipt_link、merchant_case。

讨论：退款是否必须使用原付款资产？

USDF info69

美元计价参考FC 支付轨道证明链接

查看说明

稳定资产信任

USDF 储备与证明卡片

用于安全解释 USDF：它是 FC 生态里以美元计价表达的支付资产，并在政策允许时展示储备或证明信息。

• 第一信号：计价单位、发行方和透明度链接。
• 状态：当前有效、信息过期、等待证明、不可用、警示。
• 后端锚点：usdf_disclosure、attestation_status、issuer_notice。

讨论：什么表述可以避免暗示它已经是主权稳定币？

FCA fuel70

网络燃料0.42 FCA

补充为什么

原生资产教育

FCA 网络燃料解释

用于解释即使用户主要用 USDF 支付，FC Chain 原生资产 FCA 为什么仍然重要。表达要简单、实用、不投机。

• 第一信号：FCA 支撑网络动作。
• 状态：燃料充足、燃料不足、已赞助、被阻止、建议自动补充。
• 后端锚点：network_fee_balance、fee_asset、fuel_threshold。

讨论：普通用户应该看到 FCA 燃料，还是被产品抽象掉？

Fee sponsor71

费用已覆盖政府服务支付网络费。

继续详情

服务付款

官方服务费用赞助

用于政府、服务方或推广政策覆盖网络费时。这能让官方服务少一些技术感。

• 第一信号：用户支付服务金额，不支付网络费。
• 状态：已赞助、部分赞助、已过期、不符合资格。
• 后端锚点：fee_sponsorship、sponsor_policy、fee_receipt。

讨论：费用赞助应该明确展示，还是静默应用？

Swap quote72

100 FCA to 18.40 USDF报价 20 秒内有效

路径FC pool

FC 生态 Swap

带有效期的 Swap 报价

用于 FC 生态内部 swap。设计要展示报价有效期、费用、路径和最终获得金额，但不要像传统交易所。

• 第一信号：预估到账金额和报价过期时间。
• 状态：已报价、刷新中、已过期、已接受、失败。
• 后端锚点：swap_quote、quote_expiry、fc_liquidity_route。

讨论：Swap 应该像兑换、转换，还是付款准备？

Liquidity73

流动性有限可以尝试更小金额或稍后再试。

减少金额通知我

Swap 边界

因流动性不足无法 Swap

用于 FC 生态流动性暂时无法支持用户请求的 swap 时。语气应该像服务提示，而不是交易平台提示。

• 第一信号：不可用原因和安全替代方案。
• 状态：流动性不足、路径不可用、金额已降低、已开启通知。
• 后端锚点：liquidity_check、route_status、availability_alert。

讨论：App 是否应该自动建议更小金额？

Asset policy74

资产支持政策变化审核日期后将禁用收款。

转出了解

资产生命周期

不再支持的资产或网络下线

用于外部资产、网络或 token 支持政策变化时。用户需要足够时间和清楚动作来安全迁移。

• 第一信号：受影响资产、截止日期和允许动作。
• 状态：通知、收款禁用、仅可发送、隐藏、归档。
• 后端锚点：asset_support_policy、sunset_notice、action_limit。

讨论：禁用收款前应至少提前多久通知？

Security update75

需要更新大额发送前需要安全补丁。

更新详情

App 完整性

需要安全更新状态

用于 App 版本过旧，无法执行敏感动作时。产品应解释原因，同时保留低风险访问。

• 第一信号：更新是为了保护账户安全。
• 状态：建议更新、必须更新、动作被阻止、已更新、更新失败。
• 后端锚点：minimum_app_version、security_patch、action_gate。

讨论：旧版本上哪些动作仍可开放？

New phone76

验证 MID轻触卡片恢复钱包

开始旧设备？

设备生命周期

新手机迁移

用于用户更换手机时。流程应该安全且让人安心，尤其因为钱包可以通过 MID 恢复。

• 第一信号：安全迁移路径和旧设备状态。
• 状态：旧设备可用、旧设备丢失、MID 已验证、已恢复、旧会话已撤销。
• 后端锚点：device_migration、session_revocation、mpc_share_refresh。

讨论：迁移后是否应该自动撤销旧设备？

Card replace77

MID Card 补发新卡绑定后旧卡禁用。

订购报告丢失

MID Card 生命周期

MID Card 丢失补发

用于用户丢失 MID Card 时。它必须和丢失 Vault Card 或丢失钱包本身清楚区分。

• 第一信号：这是身份卡补发，钱包仍受保护。
• 状态：已报告丢失、已订购补发、新卡已验证、旧卡已禁用。
• 后端锚点：mid_card_replacement、card_revocation、replacement_order。

讨论：等待新 MID Card 期间，用户能否继续付款？

Backup card78

主 Vault备用 Vault

添加测试

Vault 韧性

Vault Card 备用卡管理

用于用户或 IBC 需要备用受保护签名卡时。设计要避免它和 MID 身份卡混淆。

• 第一信号：主签名设备和备用签名设备。
• 状态：主卡生效、备用卡未测试、备用卡生效、已撤销、需要轮换。
• 后端锚点：vault_card_set、backup_card_test、signing_device_rotation。

讨论：备用 Vault Card 是否应该有更低签名额度？

Handoff79

在桌面继续二维码 2 分钟后过期

显示 QR取消

跨设备

安全跨设备接力

用于用户在手机开始服务或 IBC 任务，并在桌面继续时。接力绝不能静默转移签名权。

• 第一信号：这是会话接力，不是密钥接力。
• 状态：QR 已创建、已扫描、已验证、已过期、已撤销。
• 后端锚点：session_handoff、handoff_challenge、session_scope。

讨论：哪些任务适合在桌面继续？

Closure80

导出记录转移资产撤销分享

准备取消

账户生命周期

账户关闭与数据导出

用于用户想关闭或暂停钱包时。它应该保护记录、撤销凭证分享，并避免资产被遗留。

• 第一信号：关闭前必须完成什么。
• 状态：已请求、清单未完成、已准备、已关闭、可恢复窗口。
• 后端锚点：account_closure、data_export、credential_revocation。

讨论：钱包关闭是否应在有限时间内可逆？

Legacy81

可信访问计划政策期后审核长期未活跃账户。

指定规则

长期安全

可信访问与继承规划

用于长期账户安全规划。这个功能非常敏感，应该由政策主导，并包含严格身份、等待期和法律控制。

• 第一信号：这是受控访问计划，不是共享密码。
• 状态：已指定人、长期未活跃审核、要求证明、已批准、已拒绝。
• 后端锚点：trusted_access_plan、inactive_account_policy、legal_review。

讨论：这应进入 MVP，还是作为后期信任功能？

Ops queue82

12 个 DID 审核4 个恢复工单2 个政策申诉

分配审计

运营控制台

政府或信任运营审核队列

用于产品内部侧参考。钱包体验依赖清晰的审核队列、人员分配和审计轨迹。

• 第一信号：工单类型、风险等级和 SLA。
• 状态：未分配、已分配、已升级、已批准、已拒绝、已审计。
• 后端锚点：review_queue、case_assignment、operator_audit。

讨论：哪些内部状态必须直接映射到用户可见状态？

Composer83

广播预览受众：所有已验证居民

预览定时

官方沟通

政府广播编辑器

用于团队讨论官方消息如何撰写、定向、审批、定时和审计，然后再发送到钱包。

• 第一信号：受众、发布方、审批和发送时间。
• 状态：草稿、审核、已批准、已定时、已发送、已更正。
• 后端锚点：broadcast_composer、audience_segment、approval_workflow。

讨论：每条广播是否都需要双人审批？

KYB84

公司Director钱包

IBC 入驻

IBC KYB 状态旅程

用于公司从注册到可运营钱包的过程。它应该展示 director 验证、钱包能力和当前阻塞点。

• 第一信号：公司状态和下一步阻塞点。
• 状态：公司已提交、director 已验证、钱包待开启、已生效、已拒绝。
• 后端锚点：ibc_kyb_case、director_link、company_wallet_state。

讨论：IBC 钱包激活是否要等待所有 directors？

Fee calc85

服务总额申请 50 + 网络 0 + 文件 8

总计58 USDF

官方服务定价

政府服务费用计算器

用于官方服务有多个费用项目时。用户在签名或付款前应看到每项费用的含义。

• 第一信号：总额和费用拆解。
• 状态：预估、已确认、费用变化、已赞助、已支付。
• 后端锚点：service_fee_quote、fee_line_item、payment_instruction。

讨论：服务费用报价是否应该有锁定时间？

Issuer86

驾照已签发更新待处理可撤销

签发审计

凭证签发方

凭证签发方控制台

用于机构或被批准的签发方在生态中创建、更新、撤销和审计数字凭证。

• 第一信号：签发权限和凭证生命周期状态。
• 状态：草稿、已签发、已更新、已暂停、已撤销。
• 后端锚点：credential_issuer、issuance_event、revocation_registry。

讨论：哪些签发方可以直接撤销凭证？

Privacy support87

安全客服视图地址脱敏，文件隐藏。

分享日志停止

客服隐私

安全客服数据脱敏

用于用户向客服分享诊断数据时。产品应该展示客服可以看到什么，并让用户能停止分享。

• 第一信号：分享数据有限且临时。
• 状态：未分享、用户批准、已分享、已过期、已撤销。
• 后端锚点：support_data_grant、data_redaction、grant_expiry。

讨论：客服永远不应该看到什么？

Risk score88

中等风险新设备 + 新受益人

验证等待

风险透明

用户安全风险解释

用于系统增加摩擦时。用户需要一个普通人能理解的原因，但不能暴露风控内部规则。

• 第一信号：实际原因和下一步。
• 状态：低、中、高、需要加强验证、已阻止。
• 后端锚点：risk_level、step_up_reason、friction_policy。

讨论：风险解释可以具体到什么程度才安全？

Product map89

验证付款恢复客服

追踪导出

产品分析

产品负责人事件地图

用于让产品、工程和数据围绕真正有意义的事件对齐，而不是只统计零散按钮点击。

• 第一信号：能力旅程和可衡量状态变化。
• 状态：事件已定义、已埋点、已验证、已废弃。
• 后端锚点：product_event、funnel_state、analytics_contract。

讨论：哪些事件最能证明 MID-first 钱包价值？

Design tokens90

Token set信任、动作、警示、官方。

设计系统

设计 token 使用样本

用于避免样本变成彼此无关的视觉图。颜色、阴影、间距和状态 token 应该映射到产品含义。

• 第一信号：视觉决策是可复用的系统规则。
• 状态：草稿 token、已批准 token、废弃 token、主题变体。
• 后端锚点：design_token、component_state、theme_mapping。

讨论：哪些颜色应该专属于官方或风险状态？

Empty state91

暂无收据第一次付款收据会出现在这里。

去付款了解

状态库

空状态样本库

用于让首次使用页面有帮助，而不是空白。空状态应该指向一个有用的下一步，并解释页面价值。

• 第一信号：没有出错，只是用户还没使用这个功能。
• 状态：无数据、筛选后为空、权限为空、服务不可用。
• 后端锚点：empty_state_reason、first_action_hint、permission_state。

讨论：空状态应该承担教育功能，还是尽量安静？

Error state92

有事项需要处理付款未发送，资金没有移动。

重试客服

失败设计

失败与安心状态

用于付款、签名、恢复和服务动作失败时。最重要的信息是资金是否移动，以及用户下一步如何安全处理。

• 第一信号：结果、安全性和下一步。
• 状态：安全失败、部分完成、可重试、需要客服。
• 后端锚点：failure_outcome、safe_retry、support_escalation。

讨论：哪些失败状态需要立刻进入人工客服？

Notifications93

通知控制官方、安全、付款、市场消息。

必收可选静音

沟通控制

通知偏好中心

用于区分必须接收的官方/安全通知，以及可选的产品和商户消息。用户应该有控制感，但不能错过关键信息。

• 第一信号：哪些消息必须接收以及原因。
• 状态：必收、已开启、静音、摘要、因政策不可关闭。
• 后端锚点：notification_preference、required_notice、delivery_channel。

讨论：哪些通知类别永远不能关闭？

Inbox94

3 个需要处理税务申报 · 安全更新 · DID 更新

处理筛选

官方 Inbox

高优先级 Inbox 筛选

用于钱包消息变多时。关键通知应该按动作和截止日期组织，而不是混在普通消息列表里。

• 第一信号：需要处理和紧急程度。
• 状态：全部、需要处理、官方、安全、付款、已归档。
• 后端锚点：inbox_priority、message_category、action_deadline。

讨论：逾期官方动作是否应该影响首页？

Funds source95

资金来源工资、商业收入、储蓄。

声明上传

合规提示

资金来源声明

用于政策要求用户或 IBC 在大额动作前说明资金来源时。流程应该专业且边界清楚。

• 第一信号：声明原因和隐私处理方式。
• 状态：已请求、草稿、已提交、审核中、已接受、已拒绝。
• 后端锚点：source_of_funds、compliance_request、document_evidence。

讨论：什么情况下声明必须附带文件上传？

Large transfer96

金额检查用途Vault 签名

转账9,800 USDF

大额控制

大额交易审核

用于交易触发政策或风险阈值时。用户应该看到为什么要审核，以及哪些动作仍然可用。

• 第一信号：交易暂停审核，不是丢失。
• 状态：触发阈值、用户提交证明、人工审核、已批准、已阻止。
• 后端锚点：large_transaction_review、threshold_policy、review_outcome。

讨论：大额交易审核应该发生在签名前还是签名后？

Restricted97

地区暂不支持部分服务在该司法辖区不可用。

说明联系

资格边界

受限司法辖区安全文案

用于法律或政策限制影响访问时。文案必须冷静、准确，并避免暗示用户有过错。

• 第一信号：服务资格，而不是用户被责备。
• 状态：支持、受限、审核中、可申诉、永久不可用。
• 后端锚点：jurisdiction_policy、service_eligibility、restriction_notice。

讨论：受限用户是否应该看到未来开放通知？

Monitoring98

工单已提交审核后交易将继续处理。

标记审核结果

交易监控

监控工单用户状态

用于交易进入合规监控时。界面不能暴露检测规则，但要让用户知道发生了什么。

• 第一信号：动作在审核中，资金有记录。
• 状态：已标记、等待中、要求补充信息、已放行、已阻止。
• 后端锚点：monitoring_case、case_status、compliance_hold。

讨论：如何说明审核时间，同时不承诺精确期限？

Confirmations99

BTC 入账2/6

外部资产入账

外部入账确认进度

用于 BTC、ETH、TRON、SOL 或 BNB 入账需要网络确认后才能使用的场景。

• 第一信号：已看到交易，但尚不可用。
• 状态：已看到、确认中、可用、延迟、失败、重组警告。
• 后端锚点：deposit_confirmation、required_confirmations、chain_event。

讨论：待确认的外部入账是否计入总余额？

Labels100

交易所 BTCbc1q...8n4 · 用户标签

供应商 ETH0x82...19d · 付款验证过

外部地址簿

地址标签与备注管理

用于让外部地址的重复使用更安全。标签必须由用户控制，除非确认，否则不能暗示已验证身份。

• 第一信号：用户标签和已验证身份是不同层级。
• 状态：未标记、已标记、用户确认、信息过期、已移除。
• 后端锚点：address_label、external_address_book、label_origin。

讨论：外部地址是否应该定期重新确认？

Pay link101

付款链接86 USDF · 周五过期

复制分享

付款请求

付款链接创建

用于商户或用户希望在钱包聊天之外发送付款请求时。链接必须保留已验证收款人和过期时间。

• 第一信号：金额、收款人和过期时间。
• 状态：已创建、已分享、已查看、已付款、已过期、已取消。
• 后端锚点：payment_link、request_token、expiry_policy。

讨论：付款链接应该公开、私密，还是绑定联系人？

Merchant KYB102

企业Owner钱包

商户入驻

商户验证入驻

用于商户申请接收已验证钱包付款时。流程要清楚区分个人、IBC 和商户账户。

• 第一信号：商户收款能力取决于验证。
• 状态：申请中、owner 已验证、银行或钱包已关联、已批准、已拒绝。
• 后端锚点：merchant_onboarding、merchant_kyb、merchant_capability。

讨论：个人用户能否不通过 IBC 成为商户？

Staff mode103

柜台员工可收款，不可提现。

收款退款不可转出

商户运营

店员终端角色

用于店员需要收款，但不应看到完整企业资金或拥有签名权限的商户场景。

• 第一信号：有限员工权限。
• 状态：已邀请、已生效、班次开启、班次结束、已撤销。
• 后端锚点：merchant_staff_role、terminal_session、permission_scope。

讨论：员工会话是否应该在班次结束后自动过期？

Accounting104

会计导出Xero-ready CSV · 月度收据

连接导出

企业工具

会计集成导出

用于 IBC 或商户钱包需要外部会计处理时。先从导出格式开始，不要过早承诺深度双向集成。

• 第一信号：导出周期和会计格式。
• 状态：未连接、可导出、已生成、已导入、失败。
• 后端锚点：accounting_export、ledger_mapping、statement_file。

讨论：上线时最重要的会计集成是哪几个？

Reconcile105

1 个不匹配发票总额和付款不同。

匹配说明

会计边界

对账不匹配

用于发票、收据和付款金额不完全一致时。这是实际企业钱包功能，不是传统 crypto 功能。

• 第一信号：不匹配类型和建议处理方式。
• 状态：已匹配、金额不一致、缺发票、重复、已解决。
• 后端锚点：reconciliation_case、invoice_match、ledger_exception。

讨论：小额四舍五入差异是否可以自动处理？

Future rail106

今天 USDF，未来 MXCD支付体验保持熟悉。

了解通知

资产叙事

USDF 到未来 Montserrat stablecoin 过渡

用于解释 USDF 是 FC 生态中以美元计价表达的过渡性支付资产，为未来 Montserrat stablecoin 做用户体验准备，但不能过度宣称。

• 第一信号：用户体验连续，但发行主体状态不同。
• 状态：USDF 生效、未来轨道公布、可迁移、已迁移、旧资产隐藏。
• 后端锚点：asset_transition_notice、stablecoin_migration、issuer_status。

讨论：正式发行前，什么表述最准确安全？

MXCD107

MXCD 暂不可用政策开放后接收更新。

关注说明

未来资产

MXCD 可用性等待列表

用于为未来 MXCD 或主权稳定币功能做准备，同时不把它呈现成当前可用金融产品。

• 第一信号：未来可用，不是当前访问。
• 状态：不可用、已关注更新、资格待定、已开放、不符合资格。
• 后端锚点：future_asset_interest、eligibility_waitlist、availability_notice。

讨论：不可用资产是否应该出现在资产列表里？

Disclosure108

稳定资产披露了解发行方、风险和赎回条款。

接受阅读

风险披露

稳定资产风险披露

用于用户首次持有或使用稳定资产前。它应该易读、可审计、有版本记录。

• 第一信号：资产类型、发行方和风险确认。
• 状态：未接受、已接受、条款更新、已过期、已撤回。
• 后端锚点：asset_disclosure、terms_acceptance、disclosure_version。

讨论：披露应该按单个资产，还是按产品家族？

Proof request109

银行请求证明地址 + DID 状态 · 7 天后过期

审核拒绝

第三方验证

银行或合作方证明请求

用于已验证第三方请求用户分享凭证时。钱包必须清楚展示验证方身份和请求字段。

• 第一信号：谁在请求、请求什么、何时过期。
• 状态：已收到、已审核、已分享、已拒绝、已过期、已撤销。
• 后端锚点：proof_request、verifier_identity、requested_claims。

讨论：未知验证方是否默认阻止？

Verifier110

已验证验证方Montserrat Revenue Office

签发方已核验用途清楚设有过期可撤销

分享前信任

验证方信任界面

用于凭证分享前。用户不仅要信任凭证，也要信任请求凭证的一方。

• 第一信号：验证方身份和用途。
• 状态：已验证、部分验证、未知、已阻止、已举报。
• 后端锚点：verifier_registry、verification_purpose、trust_status。

讨论：每个验证方是否都必须进入官方注册表？

Revocation111

凭证已撤销电子驾照不再有效。

详情更新

凭证生命周期

凭证撤销通知

用于已签发凭证被撤销、暂停或不再有效时。用户必须看到影响，以及申诉或更新路径。

• 第一信号：凭证状态改变，以及为什么重要。
• 状态：有效、暂停、撤销、申诉中、已更新。
• 后端锚点：credential_revocation、revocation_reason、appeal_route。

讨论：哪些撤销原因可以展示给用户？

Renewal pay112

驾照更新费用待付 · 凭证 14 天后过期

付款计划

凭证付款

计划中的凭证更新付款

用于凭证更新包含费用和截止日期时。它把官方凭证生命周期和钱包付款逻辑连接起来。

• 第一信号：凭证到期和更新费用。
• 状态：即将到期、已计划、已支付、已更新、已过期。
• 后端锚点：credential_renewal、renewal_fee、scheduled_payment。

讨论：更新付款是否应该自动触发凭证更新？

Assistant113

家庭助手可请求付款，不可发送。

邀请限额

委托协助

家庭或助理有限访问

用于年长用户或忙碌企业主需要他人协助管理请求，但不能给出签名权限的场景。

• 第一信号：助手可以协助，不能控制资金。
• 状态：已邀请、已接受、已生效、受限、已撤销。
• 后端锚点：helper_access、delegated_permission、approval_required。

讨论：助手访问是否需要定期重新确认？

Guardian114

恢复协助人可协助恢复，不能访问资金。

添加说明

恢复协助

恢复协助人指定

用于用户指定可信个人或机构协助恢复证明，但不获得资产托管能力。

• 第一信号：协助人帮助恢复，不持有密钥。
• 状态：已指定、已验证、已生效、已移除、被质疑。
• 后端锚点：recovery_nominee、nominee_verification、recovery_evidence。

讨论：恢复协助人应该是个人、机构，还是两者都可以？

Vault lost115

签名已冻结Vault Card 已报告丢失。

补发审核

冷签名安全

Vault Card 丢失冻结签名

用于受保护签名卡丢失时。冻结签名权，同时把身份和钱包可见性分开。

• 第一信号：签名冻结，资产仍可见。
• 状态：已报告、签名冻结、开始补发、重新绑定、已解决。
• 后端锚点：vault_card_lost、signing_freeze、vault_rebind。

讨论：没有 Vault Card 时，小额付款能否继续？

PIN116

PIN 重置需要 MID 证明和卡片轻触。

卡片凭据

卡片 PIN 重置

用于用户忘记 MID Card 或 Vault Card PIN 时。流程必须区分卡片访问恢复和钱包恢复。

• 第一信号：重置保护的是卡片，不是整个钱包。
• 状态：已请求、身份已验证、卡片已轻触、重置完成、锁定。
• 后端锚点：card_pin_reset、pin_attempt_policy、card_unlock_event。

讨论：PIN 错误多少次后应该进入客服？

Offline ID117

离线身份检查MID Card 证明为验证方缓存。

展示过期

离线身份

离线 MID Card 身份检查

用于验证方需要证明但网络不稳定时。界面必须清楚展示证明新鲜度和过期时间。

• 第一信号：离线证明有时间限制。
• 状态：证明已准备、已展示、离线已验证、已过期、同步已记录。
• 后端锚点：offline_identity_proof、proof_expiry、verification_sync。

讨论：哪些凭证适合离线证明？

Watch-only118

只读账户监控余额，不能移动资金。

添加提醒

账户可见性

Watch-only 账户视图

用于用户监控外部地址或公司储备，但不把签名权导入 M Wallet 的场景。

• 第一信号：只读意味着没有发送能力。
• 状态：已添加、同步中、提醒已开启、已隐藏、已移除。
• 后端锚点：watch_only_account、read_only_address、balance_alert。

讨论：只读资产是否应该计入总余额？

Release119

更新内容恢复状态、商户退款、证明请求。

阅读关闭

产品变化

版本更新说明和用户教育

用于新钱包能力发布时。更新说明应该解释用户价值、风险变化和是否需要用户行动。

• 第一信号：发生了什么变化，用户是否需要操作。
• 状态：未读、已读、需要操作、已关闭、重新出现。
• 后端锚点：release_note、feature_education、version_notice。

讨论：安全相关更新说明是否允许关闭？

Design QA120

可读状态映射风险文案后端锚点

通过修改

团队流程

设计 QA 检查卡

用于设计评审时，检查每个样本的可读性、状态逻辑、风险语言、本地化和工程映射。

• 第一信号：设计质量要用产品逻辑来评估。
• 状态：草稿、已评审、需修改、已批准、已归档。
• 后端锚点：design_review_item、qa_status、decision_record。

讨论：这个检查卡是否应该成为强制设计门禁？