规则天书

　　巡检录-35720。

　　熵守约协议运行满四个周期后，揭示失约的尖峰被压平：

　　托管解锁接管了“掐时隙”的脆弱点，多窗口冗余与多路由广播把揭示从单点变成了可验证交付；紧急熵串退回应急，而不再常态；守约健康指数稳定在自然区间，高压期托管比例上升也不再引发羞辱叙事——因为每一次托管解锁都有证明卡，所有人都能验“发生了”，却没人能预演“是什么”。

　　城市再次拥有一种稀有的平衡：

　　意外可验证，但不可彩排。

　　就在这种平衡“看起来”最稳的时期，机要监端来一份极不讨喜的报表：它不是异常事件清单，而是一张分布图，像一块被悄悄掰弯的铁。

　　锚号：ANL-UNIQ-01

　　题名：**解锁偏置：托管解锁通过率正常，但输出族群分布出现微偏**

　　沈绫盯着“微偏”两个字，第一反应是轻视——微偏太像自然噪声。

　　可机要监把下一张图放上来时，沈绫的手指僵在空中：那是一条“偏置累积曲线”，像慢慢抬头的潮。

　　*曲线A：形变抽样族群的“稀有族群命中率”在多个周期内持续低于自然期望，偏差虽小，却稳定；

　　*曲线B：低成本形变占比不再异常上升（说明没有题库冻结），但“特定稀有族群”被系统性规避；

　　*曲线C：最刺眼：所有随机性证明卡、守约证明卡、熵预算证明卡全部通过；三实现校验一致；见证抽签签名健康。

　　一切都绿。绿得完美。完美得不像世界。

　　沈绫喉咙发紧：“全绿还偏置？这不应该。”

　　机要监点头：“这才是问题。偏置发生在证明链覆盖不到的缝隙里——不是揭示失约，也不是熵预算不足，而是解锁本身出现了‘唯一性裂纹’。”

　　江砚抬眼，问得很短：“什么叫唯一性裂纹？”

　　机要监答：“同一个托管揭示包，在不同解锁份额集合下，可能解出不同的明文，但都能被形式校验接受。敌人不再抢时隙，他们在同一个时隙里挑答案。”

　　会议室里一瞬间静得像被抽走了空气。

　　守望纪元刚把“揭示时隙”变成保险。

　　现在有人告诉你：保险箱里装的东西，可能不是唯一的。

　　你按规则开箱，箱子会吐出不同的内容——而你甚至可以用“看似自然的份额到达顺序”去决定吐出哪一个。

　　这就是一种比“缺席”更阴的攻击：

　　他们不让你缺揭示，他们让你**解出不止一个揭示**。

　　江砚缓缓吐出四个字：

　　“解锁裂纹。”

　　敌人要夺走的不是熵，不是时隙，而是**唯一性**。

　　唯一性一旦被夺走，“可验证不可预演”就会被击穿：

　　你依然能验证“开箱发生了”，但你无法确信“箱中只有一个答案”。

　　只要答案不唯一，就存在选择；只要存在选择，就存在偏置；只要存在偏置，就能彩排。

　　---

　　###一、解锁裂纹的本质：让托管揭示“可解出两张脸”，并把选择权藏在份额集合里

　　熵守约协议的托管解锁是这样工作的（公众只需知道证明卡通过；内部必须知道细节）：

　　1）每一方在commit时提交加密揭示包到托管池；

　　2）揭示窗口内若未主动reveal，托管池触发阈值解密；

　　3）解密由份额持有人提供解密份额，达到阈值即可解锁；

　　4）解锁生成证明卡：证明解锁对应commit哈希、揭示包哈希、阈值份额满足；

　　5）解出的揭示值参与熵混合，生成抽样序列。

　　这套设计在“时隙被掐”时很强：

　　你掐路由、掐窗口，都挡不住托管池解锁。

　　可它有一个隐含假设：

　　**阈值解密输出唯一。**

　　也就是：同一个加密揭示包，只要份额满足阈值，解出来的明文应该是同一个。

　　解锁裂纹的攻击，就是让这个假设失效：

　　同一密文在不同份额集合或不同容错路径下，可能产生两种可接受的明文。

　　它们都能通过形式校验（比如长度、结构、哈希域看似匹配），但内容有细微差异。

　　细微差异足以偏置熵混合结果，从而偏置形变抽样族群。

　　敌人不需要控制全部份额。

　　他们只要控制少量份额、再加上对“份额到达顺序”和“容错解码策略”的影响，就可能把“唯一解”变成“两个看起来都像解”。

　　选择权不是写在规则里，而是写在实现的缝隙里：

　　**哪个份额先到、哪个被判迟到、哪个被容错剔除、哪个被当作异常舍弃**。

　　这些都是工程细节——也正是敌人最爱藏刀的地方。

　　---

　　###二、异常为何会以“稀有族群被规避”呈现：偏置不需要很大，只需要稳定

　　机要监把偏置现象翻译成一个简单的统计：

　　稀有族群命中率每周期只低了不到一个小数点，看上去像自然波动。

　　但它连续低、方向一致、且与外压无关。

　　这意味着：

　　有人在每个周期都“轻轻拨一下”。

　　轻轻拨一下，不会触发尖峰；

　　轻轻拨一下，却足以让对手预演的成本下降：

　　稀有族群越少，对手需要覆盖的题目空间越小；

　　题目空间越小，刷题越容易；

　　刷题越容易，侧门越容易被藏在未出现的稀有族群里。

　　这是“可预测形变”进化后的精细版：

　　他们不再抢题目，而是让题目分布倾向可训练的区域。

　　看起来仍满足熵预算（因为总熵够），但“关键的难题族群”被系统性压低。

　　江砚看着那条累积曲线，说：

　　“他们在做偏置，不是做破坏。偏置最难抓，因为它不尖叫，它只哼歌。”

　　---

　　###三、解锁裂纹的第一证据：同一揭示包在影子解锁里出现“双像明文”

　　机要监没有靠直觉。他启用了“影子解锁器”——这是熵守约协议中为极端情况准备的旁路审计：

　　当托管解锁发生，系统会在隔离环境里用另一套独立解锁实现进行复验，复验不参与实际熵混合，只用于检测“唯一性”。

　　原本，这个影子解锁器几乎永远与主解锁一致。

　　而在偏置出现的周期里，它第一次出现了不该出现的结果：

　　锚号：ANL-UNIQ-02

　　要点：

　　*同一密文、同一commit哈希、同一揭示包哈希；

　　*主解锁输出明文M₁；影子解锁输出明文M₂；

　　*二者结构都合法，且都能通过旧版“结构校验”；

　　*二者仅在某个“非语义域”字段上差异（例如编码标记/尾部填充/可选扩展位）；

　　*但该差异在熵混合前会被规范化步骤“折叠”进混合输入串，产生可观测偏置。

　　沈绫的脸色一下子白了：“结构校验通过，但混合输入变了。也就是说——校验覆盖漏了。”

　　机要监点头：“更糟的是，我们发现这个差异与‘份额集合’强相关。换一组份额，输出就可能从M₁变成M₂。”

　　江砚缓缓问：“份额集合怎么会影响明文？阈值解密不应如此。”

　　机要监回答：“除非解密过程里存在容错解码的二义性，或者存在可被多解的编码层。我们怀疑是‘容错层’被利用了。”

　　---

　　###四、裂纹藏在哪：容错层的“好心”，可能变成二义性入口

　　阈值解密系统通常会带容错：

　　份额可能有少量错误、迟到、噪声，系统会做纠错或忽略异常份额，以提高可用性。

　　这种容错是为了抵抗自然网络抖动与高压期不稳定——它是守望纪元一直坚持的“可行动区间”思想。

　　（本章未完，请点击下一页继续阅读）