規格文件金流・帳務・風控・對帳 Custodial + Ledger

加密貨幣娛樂城初步分析書

目標：充值/提領可追溯、站內餘額可稽核、換幣與下注結算一致化、風控與對帳可日結。

#On-chain：充值/提領/金庫調度 ⬚Off-chain：下注/派彩/換幣/活動 ✓帳本：只允許沖銷，不改值 ⟡提款：分級審核 + 雙人覆核

行情（示意）

簡易理解

平台餘額的本質

用戶把 BTC 轉入平台：鏈上資產進入「平台控制的地址」；站內帳本生成對應餘額。
下注/派彩/活動/換幣：多數只在站內帳本加減（快速、低成本）。
提領：站內先鎖定（Hold）→ 審核 → 由平台簽名送出鏈上交易。

站內餘額 ≈ 平台對用戶的負債；提領出鏈才回到用戶可控的鏈上資產。

是否每次換幣都去交易所？

站內換幣可用「庫存撮合」或「批次對沖」，不一定逐筆上交易所。
必要條件：報價、成交、費用、庫存變化與對帳口徑一致。
外部對沖屬於平台資金管理策略，可按風險與規模逐步導入。

口徑：Ledger 為唯一真相；On-chain 用於充/提/金庫調度。

核心原則

Custodial（保管）：平台托管鏈上資產；用戶餘額以站內記帳呈現。
Ledger（分類帳）是真相：所有餘額變動必須落分錄；不允許直接改 balance。
On-chain（鏈上）僅做少數動作：充值/提領/金庫調度；高頻行為走 off-chain。
只允許沖銷：錯帳用反向分錄修正，保留完整稽核軌跡。
雙人覆核：人工出金/改帳/高風險操作需申請→審批→執行→稽核。

不可忽略的底線

冪等（idempotency）：回調重送、重試不得重複入帳/扣帳。
一致性：狀態機與分錄對齊；失敗可回復或可沖銷。
權限隔離：Signer、後台審核、風控規則、金庫調度分權管理。

名詞與帳務模型

On-chain vs Off-chain

On-chain：區塊鏈交易（TXID、confirmations、network fee）。
Off-chain：站內帳本（event + entries）與狀態機。

站內每個動作對應「事件」；每個事件寫入分錄（entries）。

站內帳戶（Account）最小集合

USER_AVAILABLE：可用餘額（可下注/可提領）
USER_HOLD：鎖定/凍結（審核中不可動）
PLATFORM_TREASURY：平台資金池（按 asset/network）
PLATFORM_REVENUE：平台收入（手續費、點差、平台費）
PLATFORM_PROMO_COST：活動成本（紅利/返水/任務）
PLATFORM_GAME_PNL：遊戲損益（house edge/對沖後淨額）

鏈上物件（實務會碰到的元素）

Address：充值地址池（多地址）＋出金地址（用戶提供）
TXID：鏈上唯一交易識別，用於對帳與稽核
Confirmations：入金確認數門檻（不同鏈不同）
Fee / Gas：出入金手續費與波動（需策略與預算）

建議：不同 asset/network 需獨立配置確認數、最小提領、費率策略與風控門檻。

平台資金走向圖（清晰版）

資金流（動態示意） 藍色：On-chain　紫色：Off-chain　橘色：風控/審核關卡

提示：在手機上可「左右滑動」查看全圖，並可使用「雙指縮放」放大細節。

On-chain 交易（充值/提領/調度） Off-chain 記帳（下注/換幣/活動）風控/審核（Hold/Freeze/限額）

事件流（示意） event_id / txid / amount

說明：下注/派彩/換幣不逐筆上鏈；上鏈通常只出現在充值、提領與金庫調度（歸集/補資/冷熱互轉）。

整體服務架構（分層展示）

入口層 Client / Edge

Web / H5 / App 錢包、下注、換幣、個人中心

API Gateway 驗證、限流、路由、版本控管

WAF / DDoS 防護 黑白名單、Bot 防護、速率限制

核心層 Core Services

Wallet Service 地址池、充值監控、提領申請、費率策略

Ledger Service 事件模型、分錄、冪等、餘額計算

Bet / Game Engine 下注、結算、退款、賠率快照

Swap Service 報價、成交、點差/費用、庫存/對沖接口

風控層 Risk & Compliance

Risk Rules 快進快出、設備/IP、投注比、關聯帳號

KYC / KYT 身份驗證、地址風險、黑名單

Admin Approval 提款分級審核、雙人覆核、操作留痕

營運與稽核層 Ops / Audit

Reconciliation On-chain vs Ledger 日結、差異追查

Observability APM / Logs / Metrics / Tracing / 告警

Signer / Treasury Ops 簽名隔離、歸集、冷熱互轉、上限警戒

流程規格（事件 + 狀態機 + 分錄）

充值 Deposit（鏈上 → 站內入帳）

狀態機（deposits.status）

created：已生成地址/等待入金
detected：偵測到 txid
confirming：確認數累積中
credited：已入帳（可用）
held：已入帳但進 USER_HOLD（待審）

分錄方向（示意）：USER_AVAILABLE(+X) / USER_HOLD(+X)，平台資金池對應入帳（或負債模型一致化）。

下注與結算 Bet/Settle（站內高頻）

最小事件

BET_PLACED：USER_AVAILABLE(-stake)
BET_SETTLED_WIN：USER_AVAILABLE(+payout)（對應平台損益科目）
BET_SETTLED_VOID：USER_AVAILABLE(+stake)

結算需賠率快照與注單狀態可追溯；事件可重播（replay）。

站內換幣 Swap（站內成交，外部對沖可選）

報價（quote）欄位

quote_id, from_asset, to_asset
price, spread_bps, fee_bps/fee_fixed
expires_at（例如 10 秒）

分錄（示意）：USER_AVAILABLE(BTC)-a，USER_AVAILABLE(USDT)+b，PLATFORM_REVENUE(+fee)。

提領 Withdrawal（站內 → Hold → 審核 → 上鏈）

狀態機（withdrawals.status）

requested → locked → risk_review
approved / rejected
signing → broadcasting → confirming
completed / failed

分錄（最小）：WITHDRAW_LOCKED（可用→Hold），WITHDRAW_REJECTED（Hold→可用），WITHDRAW_COMPLETED（Hold 減、金庫出鏈）。

金庫（Treasury）調度

用戶入金進地址池 → 站內入帳（Ledger）
定時歸集（Sweep）：地址池 → 熱錢包（On-chain）
熱錢包上限策略：多餘資金 → 冷錢包（On-chain）
熱錢包不足：冷錢包 → 熱錢包補資（On-chain）
任何鏈上調度需建立對應事件/分錄，保持對帳一致

風控 / 稽核 / 對帳

風控（最低必做）

KYC 狀態：UNVERIFIED / PENDING / VERIFIED / REJECTED
提領分級：小額自動、大額人工、超限必 KYC
可疑行為：快進快出、新設備/新 IP、入金後低投注即提領
地址風險：高風險/黑名單地址拒絕或凍結
凍結模型：透過分錄移轉到 USER_HOLD

對帳（Finance 口徑）

On-chain 對帳：入金總額、出金總額、錢包餘額、手續費支出
Off-chain 對帳：每筆 deposit/withdraw 對應 txid；狀態機一致
差異報表：缺失 txid、重複回調、狀態卡死、金庫餘額異常

建議：日結固定時間跑完（含延遲窗口）並可追溯重跑。

SWOT 分析與威脅防範

SStrengths（優勢）

站內帳本高效：下注/換幣/派彩低成本、低延遲
事件 + 分錄：可稽核、可回放、可沖銷
可擴充：多幣別、多鏈、多遊戲引擎可逐步整合

WWeaknesses（劣勢）

托管風險：密鑰/權限/流程一旦失守影響巨大
對帳複雜：鏈上延遲、回調重送、狀態卡死需完善處理
風控成本：KYC/KYT、人工審核、客服/爭議單成本上升

OOpportunities（機會）

產品多樣化：體育、娛樂、原生遊戲、活動工具
金庫策略：庫存撮合、批次對沖、費率/補貼策略優化
數據驅動：反作弊模型、個人化活動與風控分級

TThreats（威脅）

資安攻擊：私鑰外洩、後台權限被奪、供應鏈攻擊
洗錢/套利：快進快出、活動濫用、關聯帳號批量操作
可用性：DDoS、節點/RPC 不穩、供應商中斷
口徑爭議：手續費、匯率、狀態卡死導致用戶糾紛

威脅防範（落地措施）

威脅	防範策略（必做）	驗證/稽核點
私鑰/Signer 風險	Signer 隔離、最小權限、雙人覆核、提款分級；冷/熱分離；金庫上限；敏感操作留痕	權限審計、簽名白名單、異常提款告警、年度滲透測試/稽核
套利/洗錢	快進快出/投注比/關聯帳號/設備指紋規則；KYC/KYT；可疑交易凍結至 Hold	日結可疑名單、凍結/解凍分錄完整、審核時效 SLA
回調重送/重試	全流程冪等鍵（txid / withdrawal_id / quote_id / bet_id），狀態機單向，失敗可重試或可沖銷	重送測試不重複入帳；狀態卡死可安全修復（沖銷）
DDoS/供應商中斷	WAF/Rate limit、備援 RPC、多供應商；降級：暫停提款/暫停換幣/保留下注	演練：故障切換、降級按鈕、公告/客服流程
口徑與爭議	匯率/費用規則固定口徑、成交快照、注單快照；客服可查事件鏈與 txid	工單可輸出：事件、分錄、txid、時間線

2 年人力成本 / 設備 / 隱形成本估算

估算以「托管錢包 + 站內 Ledger + Swap + Bet settle + 風控 + 對帳 + 後台」為目標；金額採台幣區間（含 Loaded Cost）。

估算口徑

人力總成本 ≈（月薪 × 人數）× 24 × 1.35～1.55
設備/雲與第三方 ≈ 基礎雲 + 監控 + KYC/KYT + 安全稽核
隱形成本準備金 ≈ 鏈上費用 + 套利/作弊損失 + 事故處理 + 對帳/客服波動

方案對比（2 年總預算級距）

方案	平均人力	2 年人力（Loaded）	2 年設備/雲/第三方	2 年隱形成本準備金	2 年總計
精實版（能上線能跑）	12～16 FTE	NT$ 2,200 萬～ 4,200 萬	NT$ 600 萬～ 1,600 萬	NT$ 300 萬～ 1,200 萬	NT$ 3,100 萬～ 7,000 萬
穩健版（安全/合規）	20～28 FTE	NT$ 4,800 萬～ 9,800 萬	NT$ 1,200 萬～ 3,200 萬	NT$ 800 萬～ 3,000 萬	NT$ 6,800 萬～ 1.6 億

人力配置（建議）

角色（Role）	精實版（Lean）	穩健版（Robust）	工作範圍（Scope）
PM / PO（產品經理 / 產品負責人）	1～2	2～3	需求/規格、里程碑、跨部門協作
Tech Lead / Architect（技術主管 / 架構師）	1	1～2	事件模型、服務邊界、架構治理
Backend（後端：Ledger/Wallet/Admin/Bet）	4～7	8～12	核心服務、對帳、活動、報表、權限、API
Blockchain / Wallet Engineer（區塊鏈 / 錢包工程師）	0～1（可兼任）	1～2（建議專職）	地址池、監控、Signer、費率策略、歸集/金庫
Frontend（前端：Web/H5/Backoffice）	2～3	3～5	錢包/提領、後台審核、報表、營運工具
DevOps / SRE（維運工程 / 站台可靠性工程）	1～2	2～4	部署、可觀測、擴容、高可用、可靠投遞
Security（資安工程 / 資安顧問）	0.5～1（兼任/外包）	1～2（專職）	權限/密鑰治理、滲透測試、事件應對
QA（測試工程 / 品質保證）	1～2	2～4	金流回歸、冪等/異常情境、壓測
Risk / AML Ops（風控 / 反洗錢營運）	1～2	2～4	提款審核、規則調整、黑白名單、凍結處理
Finance / Reconciliation（財務 / 對帳）	1	2	日結對帳、差異追查、口徑統一
Customer Support / Ops（客服 / 營運）	2～4	4～8	工單、爭議處理、補單/沖銷協作

設備 / 第三方 / 隱形成本（必須預留）

設備/雲（Infrastructure / Cloud）

DB（資料庫）、Redis（快取）、MQ（訊息佇列）、Object Storage（物件儲存）、CDN/WAF（內容加速/防火牆）、多環境與備份
監控告警（APM 應用監控 / Logs 日誌 / Metrics 指標 / Tracing 追蹤）與 on-call（值班）流程
備援 RPC（區塊鏈節點介面）/ 多供應商、故障切換與降級策略

第三方與隱形成本（Vendors / Hidden Costs）

KYC（身份驗證）/ KYT（鏈上地址風險）、行情/匯率、通知（SMS 簡訊 / Email 電子郵件）、客服系統
鏈上手續費波動、活動濫用/套利損失準備金
事故處理（鑑識/法律/公關）、對帳與客服波動成本