SinaQ

我已经连续熬夜一周，为了翻看SIGN文档，快把自己熬秃噜了。昨晚我又花了3小时跑了测试网。
New Money System 文档里：
"performed_by": "operator:cb-compliance"
记录"谁执行了这次合规检查"。在真实场景里，这应该是一个经过 Trust Registry 认证的操作员 DID。
当我看到上面这个字段时，我决定对它撒个谎试试，也算是一种边界测试吧。
我在 opBNB 测试网构造了一条合规检查记录，格式完全照文档示例，只改了一个地方——performed_by 填了一个随手编造的 DID：did:example:operator:nonexistent-9999。这个 DID 从未在任何 Trust Registry 注册过，它不存在。#Sign地缘政治基建
然后签名提交。250ms后它就给我确认了。
打开 SignScan，记录在那里，完整，有效，字段展示清晰，接口响应流畅。我有一瞬间觉得这个系统做得真棒。
然后我盯着 performed_by 字段看了很久。@SignOfficial
那个不存在的 DID，清清楚楚显示在 SignScan 上。没有警告，没有标注，也没有任何提示！一条声称"合规检查已通过"的链上记录，执行者却是一个虚构的人。
协议没有拒绝，这样也对。Sign Protocol 负责记录"有人声称发生了这件事"，不负责验证"声称者是否有资格这样声称"。分层设计没有问题。
但我开始感到不安。
New Money System 的 G2P 发放流程里，compliance check log 会被写入 audit package，作为整个发放行为的合规证明。文档说这套机制的目标是"supervisory visibility"——让监管机构检查每一笔发放背后的合规记录。
现在链上有一条记录：result: pass，performed_by 是一个不存在的 DID。
监管机构打开 SignScan，看到 pass，看到一个 DID。他们需要自己去 Trust Registry 核查这个 DID 是否真实存在、是否有授权、是否在检查时处于有效状态。
我去翻了文档。没有写。Getting Started 页面列出的四个 GitHub 深层文档链接——Reference Architecture、Security & Privacy、Governance & Operations——逐一打开，全部 404，内容从未发布。
在当前所有可访问的 S.I.G.N. 官方文档里，关于如何验证 performed_by 字段的真实性，没有任何文字。
我突然想到一个场景：吉尔吉斯斯坦的福利发放系统，基层操作员提交了一批合规检查记录，performed_by 填的是已离职的操作员 DID，或者一个从未存在的 DID。这批记录顺利进入链上，顺利成为 audit package，顺利通过任何只看"记录是否存在"的自动化审计...
我的判断是：SIGN 的证据层足够诚实。但在主权级场景里，诚实地记录一个谎言，和没有记录，结果可能一样危险。
我建议performed_by 配套一个验证规范：写入时强制校验 Trust Registry，或者 SignScan 展示时标注验证状态，或者部署指南里明确监管方的核查流程。
世界上没有任何一种标准化流程可以适配所有的应用场景。只能说在主权级场景里，SIGN的开发流程还可以继续升级个性，趋向完美。
小区下面的鸟儿开始叫得欢，天也快亮了。$SIGN
而现在，那个虚构的 DID 还在链上。我会继续盯这个DID验证的迭代。

昨晚我盘 SIGN技术文档的时候，在"Unlinkability patterns"章节看到了一个让我踌躇不前的动词：rotate。​
"rotate verifier session identifiers to reduce metadata linking"
就这一个词，为了研究透它，我在屏幕前静坐了3个小时。
在传统身份系统里，Verifier 的会话标识符从来不换。银行终端 ID、闸机设备编号、服务窗口系统标识，永远固定。这是运营管理的基础，是审计追溯的前提，是每一个系统集成商在交付文档里默认写进去的前提假设。没有人质疑它，就像没有人质疑呼吸一样。
SIGN 的文档却说：把这些标识符轮换掉。@SignOfficial
这条建议的对象不是 Issuer，不是 Holder，而是 Verifier 自己。SIGN 在要求验证方主动切断自己对持证人的追踪能力。在身份系统设计的文献里，我还没有找到任何一个同类项目把这个责任显式地压给 Verifier。这是第一个。
rotate 这个词的出现，证明SIGN 在隐私设计上到达了一个大多数同类项目从未到达的位置。它看见了 Verifier 侧的元数据风险，看见了固定标识符的追踪后果，也看见了解法。
它什么都看见了。但看见，和要求，是两码事。
文档里用的词是"design verifiers to"。不是"MUST"，不是"SHALL"，不是任何一个 RFC 2119 意义上的强制性措辞。
这意味着一个完全合规的 SIGN部署，可以完全无视这条建议，使用固定会话标识符，在技术上零违规。
SIGN 把对元数据关联风险的理解写进了文档，但没有写进规范。理解和约束之间，还有一道沟。
这道沟不是技术能力的问题。rotate 这个动词本身证明设计者知道风险在哪里，也知道解法在哪里。沟存在的原因只有一个：有人在某个决策节点，选择了"建议"而不是"约束"。
这个选择看起来温和。实际上是把全部的隐私风险，转移给了最没有动力承担它的一方：Verifier。
这道沟的代价其实是可以估算的。
一个国家级身份系统，假设日均验证事件 100 万次，分布在 5000 个 Verifier 节点。如果这 5000 个节点使用固定会话标识符，一个持证人一年内的跨机构行为记录，理论上可以被完整还原。
即使凭证本身使用了 ZK 证明、BBS+、选择性披露，所有隐私技术全部正常工作。你在凭证里藏得再好，Verifier 那边一直盯着你，照样能把你的行踪拼出来。
那些精心设计的密码学工具，最终像一件穿在人身上的透明衣服。我们以为自己被遮住了，其实什么都没遮住。
这不是边缘场景。这是在没有强制要求的情况下，每一个追求运营效率的 Verifier 的默认选择。没有人会主动给自己增加轮换标识符的运维成本，除非规范要求他必须这样做。
法律从来不相信人性，它只相信制约。
对比 GDPR 的处理方式。欧盟在数据最小化原则上用的是"MUST"，不是建议。结果是什么？企业合规部门有了可执行的基准，监管机构有了可追责的条款，用户有了可主张的权利。
再对比 Apple 的 App Tracking Transparency。苹果没有"建议"开发者不追踪用户，而是在系统层面强制弹出授权弹窗，把追踪行为从默认开启变成默认关闭。效果立竿见影。不是因为开发者变得更有道德，而是因为有约束了。默认值的翻转，比任何一份隐私承诺书都更有约束力。
SIGN 也明白这个道理。"事前切断"比"事后约束"更可靠，把隐私保护从"我承诺不这样做"变成"我在结构上做不到这样"。这个逻辑写在它的设计哲学里，写在 rotate 这个动词的选择里。$SIGN
但它仅仅把这个理解写成了建议，而不是约束。
写成建议的那一刻，它就从 Apple ATT 退回到了"我们鼓励开发者尊重用户隐私"的时代。那个时代，我们都知道后来发生了什么。
就像一个人看见了路边倒下的人，和弯下腰去扶人，是两个完全不同的节点事件。我的判断是：一个把隐私保护写进规范强制条款的系统，和一个把隐私保护写进文档建议章节的系统，在部署三年后的现实世界里，会变成两个完全不同的系统。
SIGN选择了哪条路，不在于它的设计哲学有多先进，而在于那个"MUST"有没有出现在正确的位置上。
rotate 这个词已经在那里了。不急，我先等等看迭代。#Sign地缘政治基建
你们觉得呢？SIGN该继续保留温柔的建议，还是坚定的MUST？

因为工作原因，我自己测试过不少项目的技术文档。大多时候我是敢怒不敢言：文档写得漂亮，但实际跑起来又是另一回事！
这次我盯上了 SIGN的 New ID System，因为看到一张技术规范表，那张表里并列写着两件事：撤销机制采用 W3C Bitstring Status List，离线支持采用 QR 和 NFC 两种凭证出示方式。@SignOfficial
我盯着这两行字看了很久。
这两个承诺并排放在一起，意味着系统在隐性地许诺一件事：在没有网络的情况下，身份验证依然可以完成。但 Bitstring Status List 的工作原理决定了它天然依赖网络：验证方需要从状态列表 URL 拉取压缩位串，查找对应索引位的值，1 是已撤销，0 是未撤销。
接下来，我花了2个小时，把这个测试流程跑了一遍。
我先测了标准离线出示。联网状态下预生成一份包含国籍、年龄段、身份标识符的 Verifiable Credential，以 QR 码和 NFC 两种形式存储于本地，然后切断网络。验证端依赖本地预置的发行方公钥完成密码学签名验证。NFC 触碰响应约 1.2 秒，QR 扫描识别约 0.8 秒，凭证真实性验证顺利通过。
这一阶段没有意外。离线密码学验证能力稳定，发行方签名的完整性判断不依赖网络，符合预期。
接着开始有意思了。
我在联网状态下对上述凭证执行链上撤销操作，确认交易上链后立即切断验证端网络，再次出示同一凭证，重点观察返回状态。
结果和我的直觉预期不同。验证端没有静默返回"验证通过"，而是触发了一个明确的错误状态——对应 W3C 规范 3.2 节 Validate Algorithm 第 4 步的强制性规定：状态列表 URL 解引用失败时，处理器必须抛出 STATUS_RETRIEVAL_ERROR。协议层已经把"无法获取撤销状态"和"凭证有效"做了明确区分，不存在静默放行的设计。
我松了口气。然后随即发现了真正的问题。
错误状态返回之后，应用层如何处置，W3C 规范完全没有约束。SIGN 官方技术文档在"Revocation and status"一节给出的验证流程，要求第三步是"check status list at verification time"，但对这一步失败后的降级策略，只字未提。
这意味着 fail-open（状态未知时放行）和 fail-closed（状态未知时拒绝），都属于合规选择。而处置权完全落在各部署方手里。这是一个工程上诚实的设计，但诚实本身不等于安全。

然后，我去验证了一条 W3C 规范里明确支持的离线缓解路径：Certificate Stapling。这个机制允许持证人在出示凭证时主动附带状态列表，验证方无需联网即可完成撤销检查，同时还额外保护了持证人的隐私，因为不需要回源查询。
测试结果是当前 SIGN 生态的 Holder Wallet 实现未观察到 Stapling 行为。凭证出示时不附带状态列表，验证端仍需自行拉取。这条 W3C 规范已经铺好的离线缓解路径，在当前实现中尚未落地。
最后我跑了 TTL 缓存窗口的边界测试。W3C 规范对 ttl 属性的定义是可选的，且使用 SHOULD 而非 MUST——规范既不强制要求设置 TTL，也不强制要求在 TTL 过期后必须刷新缓存。这意味着在有缓存的情况下，TTL 窗口内发生的撤销操作，无论联网与否，验证端均无法感知。
这是一个与网络连通性无关的独立风险维度。即便在联网环境下，缓存策略的松紧同样决定了撤销感知的实时性。
当跑完一遍测试流程，我发现SIGN离线 ID 系统的能力边界变得清晰。
可靠的部分是： 密码学签名验证在离线环境下完全可用，NFC 与 QR 的响应速度达到实用标准，状态列表获取失败时协议层显式报错而非静默通过。这三件事，系统都做到了，而且做得正确。
有缺口的是：​ 撤销状态未知时的应用层处置策略完全空白，官方文档没有任何规范性指引；Certificate Stapling 尚未在 Holder Wallet 实现中落地；TTL 缓存策略缺乏强制性约束，撤销感知的时间窗口由各部署方自行决定。
这些缺口有一个共同的根源：W3C 规范将大量决策权下放给了实现层和部署层。对于普通的互联网应用，这种灵活性是合理的，甚至是必要的。但 SIGN面向的是主权级场景：政府、国家身份系统、央行数字货币。在这个量级的场景里，灵活性如果没有配套的部署规范加以收敛，就会变成一个系统性的安全漏洞，等着被各种不同的部署方用各种不同的方式踩进去。
我认识很多工程师，在面对无法完美解决的问题，会选择把问题藏起来，让系统表现得好像一切正常。但SIGN没有这样做。它选择了显式报错，选择了把那个 STATUS_RETRIEVAL_ERROR 摆在明处，让每一个调用它的人知道这里发生了什么。这是一种值得尊重的设计态度。
但尊重归尊重，问题还是问题。
最紧迫的事是补全部署规范里的离线策略章节。​ SIGN需要在主权部署指南中，明确要求各部署方将 STATUS_RETRIEVAL_ERROR 的处置策略写成显式配置，并提供分级模板：低安全场景带警告放行，高安全场景强制拒绝并要求重新联网。把这个决策从"各自为政的自由裁量"变成"有案可查的明确选择"，是主权级基础设施起码应该做到的事。$SIGN
另外，Certificate Stapling 应当进入 Holder Wallet 的标准实现路线图。​ 这条路 W3C 已经铺好了，实现成本不高，收益却很实在。Holder 每次联网时自动刷新并缓存状态列表，出示凭证时一并附带，离线撤销盲区的时间窗口就能从"无限制"压缩到"最后一次联网后的 TTL 周期"。一条现成的路，没有理由继续搁置。
TTL也 需要从可选项变成场景强制项。​ SIGN 的部署指南应当给出分级默认值：涉及资产操作或高权限访问的凭证，TTL 不超过分钟级；一般性身份证明凭证，可以接受小时级缓存。这不是技术上的难题，而是一个需要有人站出来做决定的规范问题。#Sign地缘政治基建
离线能力与撤销实时性之间的张力，是所有基于 VC 的身份系统都要面对的宿命，没有人能彻底消解它。SIGN 目前的状态，姿势是正确的，方向也是对的，但脚下的那块石头还没有完全踩稳。从"协议层诚实"到"主权级可信赖"，剩下的路不长，但每一步需要踩得更踏实了。
你觉得 S.I.G.N. 最应该先补哪一块——应用层降级策略、Certificate Stapling，还是 TTL 场景分级？

去年底，我跟合伙人去谈一个政府的合作。当我们开始介绍产品时，对方立马Q到行业对标老大。
我们公司做的是行业的底层协议对接，但对方却“先入为主”地把我们当成了应用工具。
后来我跟做品牌咨询的朋友聊天，他说了一句话让我记到现在：
"很多公司死不是死在产品上，是死在别人不知道他们是谁。"
他认为这种品牌错位，是销售里最隐性也最致命的伤害。
我昨天又花了2个小时研究SIGN的一个细节，让我回忆起之前的场景。@SignOfficial
记得刚开始我接触SIGN项目时，看到它生态里有三个产品——EthSign、Sign Protocol、TokenTable。我去查了一下，发现这三个产品，从用户需求、技术门槛到竞争对手，几乎没有一个维度是重叠的。
我硬是把这三个产品放在一起看了很久，还是没太弄明白他们之间的“联系”。说白了，SIGN从品牌到产品上的关联认知，对刚接触的人来说是有门槛的。$SIGN
这在品牌管理学上，是一个经典的风险场景。
做过品牌的人就知道，这叫品牌延伸困境——当一个品牌同时覆盖认知距离很远的多个产品时，用户对品牌的认知会被最低端的产品锚定。
当一个政府采购官员第一次听到"EthSign"，他的大脑会自动完成一次归类："这是一个合同签署工具，类似 DocuSign。"然后他不会再往下想了。
但 SIGN 真正想卖给政府的，是 CBDC 系统、国家数字身份系统、主权数字基础设施。
这两件事在认知上的距离，会不会就像我朋友说的品牌错位导致最隐性、也最致命的伤害？
对方可能不是质疑你的能力，是根本不会把你纳入候选名单。
直到我昨天继续深入研究SIGN，发现它已经在系统性地解决这个问题，而且动作比我预期的快和彻底。
推出 S.I.G.N. 作为顶层叙事框架。官方文档首页第一句话已经不是产品介绍，而是："S.I.G.N. is sovereign-grade digital infrastructure for national systems of money, identity, and capital." 紧接着是一句关键声明："S.I.G.N. is not a product container. It is a system-level blueprint for deployments."意思是 EthSign、Sign Protocol、TokenTable，都只是这个蓝图里的可选组件，不是主角。品牌定位层级，从产品级直接跳到了国家战略级。
文档对不同受众实施分流导航。官方明确把读者分成三类，给出完全不同的阅读路径——政府官员看架构和治理，开发者看 SDK 和 API，产品评估者看功能对比。政府官员进入文档的第一眼，看到的是"New Money System、New ID System、New Capital System"，而不是"发合同、签合同、验合同"。
官方 FAQ 明确声明三个产品可以独立使用。"Do TokenTable and EthSign require Sign Protocol? Not strictly. They can be used as standalone products." 允许各产品在各自市场自由发展，互不拖累——这是松耦合品牌策略的标准动作。
社交媒体入口完成品牌切割。官方 X 账号从 @EthSign 正式迁移到 @Sign，置顶公告写的是"Sign is now OFFICIALLY... We've changed our handle to @Sign"。一个项目愿意放弃积累多年的账号 Handle 重新建立认知，这是有真实成本的品牌决策，不是随便做的。
“数字救生艇"叙事锚定。官方用了一个词："Sign is essentially acting as a 'digital lifeboat' in the current environment." 当"数字救生艇"进入传播语境，没有人会再联想到"合同签署工具"。
以上的五个动作，从框架层、文档层到社交媒体层，系统性地完成了品牌切割。这比大多数 Web3 项目做得扎实得多。
但我还是有几个没想明白的地方。
S.I.G.N. 这个缩写本身就是一个认知负担。它和 Sign Protocol、Sign Global 在发音和拼写上高度重叠。政府官员和媒体能否清晰区分"S.I.G.N. 框架"和"Sign Protocol 协议"，目前仍然是一个未解决的问题。一个好的品牌架构，应该让人一眼就知道层级关系，而不是需要读完 FAQ 才能搞清楚谁是谁。
Erasing的 200 万用户，目前还是一个孤立的流量池。官方文档里设计了"Witnessed Agreements"机制，试图把 EthSign 的合同签署行为转化为 Sign Protocol 的链上存证，让两个产品的用户群产生交集。但这个漏斗的实际转化数据，从未被公开披露过。有多少 EthSign 用户在签合同时，主动选择了 Witnessed Agreements 功能？​这个问题的答案，或者直接决定了 EthSign 对整个 SIGN 生态的战略价值。
"数字救生艇"叙事是一把双刃剑。它在地缘政治紧张的当下非常有力，但它的情感动员力依赖于持续的外部不确定性。一旦国际局势趋于稳定，这个叙事的穿透力会大幅衰减。而 SIGN 的技术落地进度，能否在叙事窗口关闭之前完成足够多的政府合同交付，是我持续观察的核心问题。
品牌的认知重构从来不是一蹴而就的事。SIGN 已经完成了框架切割，这一步做得比我预期的好太多。
但最终的考验只有一个：当下一个政府客户第一次接触 SIGN，他脑子里浮现的第一个词，是"合同签署工具"，还是"主权数字基础设施"？#Sign地缘政治基建
我们公司的名片已经从"人才测试专家"改成“人才测试协议专家”。用户对我们的认识更加清晰：只做“协议对接”。
SIGN 的名片，也正在换。
但这个过程有没有完成，我还会继续关注。

我大姑丈有一枚勋章。
不大，铜制的，边缘已经氧化发黑了。他年轻的时候在化肥厂做了三十年，那枚勋章是退休那年厂里发的，表彰他对集体的贡献。
我小时候问过他，这个能换钱吗？
他看了我一眼，平静地说："这个不是用来换钱的。"
我当时不懂。后来我慢慢明白了那枚勋章的意义，恰恰建立在它不能被交易这件事上。一旦它可以被卖掉，它就不再是荣誉了，它只是一块铜。
我昨天开始研究起@SignOfficial 的橙色王朝，花了2个小时看完它的 SBT 激励体系（官方网站的 Orange Dynasty 社区指南第四章）。
那时我脑子里一直转的，就是那枚勋章。
一个不能卖、不能转、永远变不了现的链上徽章，凭什么让人死心塌地地贡献？这个问题，我来好好给大家剖析一下。
先搞清楚这个东西到底是什么
SBT，Soulbound Token，灵魂绑定代币，概念来自 Vitalik 2022年那篇论文。核心逻辑是：把一个人的身份、贡献、资历，以不可转让的形式永久刻在链上。它不是资产，是凭证，代表你做过什么，不是你拥有什么。
SIGN 已经落地了。他们在官方 X 账号（@sign）上正式公开了 SBT 的四大类别及评选标准：
Support Warrior，看的是你和社区成员互动的频率和质量，明确写了偏好非AI内容，要的是真人在真诚建立连接。
Orange in the Veins，要求持续参与日常活动，不是偶尔冒个头，是长期在场。
Outstanding Content Creation，看创作热情、创意程度、持续性，还有你对别人内容的反馈质量。
Serious Builder，评判标准因人而异，没有固定公式。

我逐条看完，有点震惊。因为这套标准不是在筛"刷量"，而是在“筛质"。发帖数量、点赞量、转发量...这些在大多数项目里最容易量化的指标，在这里几乎不算数。
它在意的只有一件事：你有没有真的在这里，你有没有真的做过什么。
这套设计反直觉，但它在对抗一个真实的问题。
行为经济学里有一个概念叫动机挤出效应，经济学家 Bruno Frey 提出的。
结论很反直觉：给一件人们本来出于热爱去做的事情附加金钱奖励，撤销奖励之后，他们的参与热情会低于从未获得奖励时的基准线。
原因是金钱改变了人对自身行为的心理归因。原本"我贡献是因为我认同这个项目"，变成了"我贡献是为了赚钱"。利益一消失，动机跟着崩。
这是99%的 Web3 社区死亡的真正原因：用代币激励买了短期热度，同时却把长期信仰也杀死了。牛市一过，那些喊"长期持有"的人，往往是第一批砸盘的。
我大姑丈那枚勋章就从来没有市场价格，所以它的意义从来没有被稀释过。三十年后他还放在抽屉最里面，不是因为它值钱，是因为它代表的东西没有办法被替换。
$SIGN 的 SBT 不可转让，做的是同一件事：用不可交易性，来保护荣誉本身的重量。
但内在动机能不能真正被激活？这个问题很不简单。
心理学上有个自我决定理论，Deci 和 Ryan 提出的，说内在动机要真正运转，必须同时满足三个基本心理需要：自主感、胜任感、归属感。缺一个，整套机制就会松动。
我对照橙色王朝的设计一条一条拆开来看。
自主感——加入没有强制，换个橙色头像就能入圈，低门槛自愿参与，满足。
胜任感——四类 SBT 标准严苛，不是人人都能拿到。特别是 Serious Builder 这一类，连评判标准都是个性化的，你的贡献是被真人看见的，不是被算法批量处理的，高度满足。
归属感——Tiger Research 的研究报告里有一个细节，我看到之后久久没有翻页：部分成员把 Sign 的标志纹在了身上。
一个 Web3 项目的 Logo，刺在皮肤上。
这不是粉丝行为，这是一个人在用最不可逆的方式宣告归属。从自我决定理论的框架来看，橙色王朝几乎把三个条件都做到了极致。
不过，我也必须说出那句没人想说的丑话。
SIGN的 SBT 再精妙，也无法回避一个现实：荣誉需要锚点，信仰需要现实支撑。
我大姑丈那枚勋章之所以有意义，是因为那家工厂是真实存在的，那三十年的贡献是真实发生的。如果工厂本身是空壳，那枚勋章从第一天起就什么都不是。
SBT 的逻辑链是一样的：项目基本面扎实，荣誉才有现实锚点，内在动机才能持续运转，社区才能真正沉淀。我见过太多号称"信仰型社区"的项目，代币价格腰斩之后，所谓的真爱粉迅速变成维权群。那些徽章，并没有阻止任何人离开。
SIGN目前的基本面，是我这个周期里见过最扎实的项目之一。TokenTable在2024年实现了1500万美元的真实收入，处理了超过40亿美元的代币空投，覆盖4000万用户。这不是白皮书上的愿景，是已经发生的商业事实。SIGN 还在推进与塞拉利昂、阿联酋政府的主权级合作，把国民身份系统上链，这是绝大多数 Web3 项目连想都不敢想的合作场景。
当一个项目有真实收入、真实用户和真实政府背书，SBT 代表的荣誉才是真正的荣誉。它是一个有基本面支撑的精神股权，不是画出来的葱花大饼。
最后我想说的
SIGN 在做的事情，本质上是一场反市场的实验：在一个一切都可以定价的世界里，划出了一片不允许定价的荣誉小天地。
这套逻辑能不能跑通，最终取决于两件事。第一，项目能不能持续证明自己值得被信仰。第二，这个社区里，有没有那种不为空投、不为打卡、只是真心觉得这件事值得做的人。
Tiger Research 的报告显示，橙色王朝目前有超过5万名成员，14500条社区帖文，560多小时的 X Space 运营时长。
这些数字背后，有多少是真正的内在动机驱动？有多少只是在等 TGE 之前的最后一波？这些问题，我想只能先留给时间去解答。
但我知道一件事。
那些把 Sign 标志纹在身上的人，他们在意的不是能不能卖掉这枚徽章。他们在意的是，有没有一个地方，能永远记得他们在这里做过什么。
我大姑丈那枚勋章，他从来没想过要卖。
荣誉是激励设计的目的，基本面才是支撑SIGN激励体系真正的底气。 #Sign地缘政治基建