آدرس‌های مخفی Monero به زبان ساده

هر کاوشگر بلاکچین Monero را باز کنید و سعی کنید آدرسی را که همین چند لحظه پیش به آن پرداخت کرده‌اید پیدا کنید. پیدا نمی‌کنید. می‌توانید هزاران تراکنش را بالا و پایین کنید، اما هرگز آدرس عمومی گیرنده را روی زنجیره نخواهید دید — نه یک بار، نه هیچ‌وقت. همین یک واقعیتِ ساده است که Monero را از Bitcoin جدا می‌کند؛ شبکه‌ای که در آن هر پرداخت به یک پیوند دائمی و قابلِ‌جست‌وجو میان فرستنده و گیرنده تبدیل می‌شود. سازوکار پشت این ناپدیدشدن «آدرس مخفی» (stealth address) نام دارد و بی‌سروصدا روی تک‌تک تراکنش‌ها اجرا می‌شود — از جمله تراکنش‌هایی که هنگام تبدیل یک ارز دیگر به XMR از مسیر MoneroSwapper عبور می‌کنند.

آدرس مخفی همان رشتهٔ بلندی که با عدد «۴» شروع می‌شود و برای دریافت وجه کپی‌اش می‌کنید نیست. آن رشتهٔ عمومی را آزادانه به اشتراک می‌گذارید — می‌توانید روی یک وب‌سایت منتشرش کنید، روی کارت ویزیت چاپش کنید یا به هزار مشتری بدهید. اما چیزی که در نهایت روی بلاکچین می‌نشیند کاملاً متفاوت است: یک کلید مقصدِ تازه و یکبارمصرف که فرستنده آن را تولید می‌کند، از نظر ریاضی به شما گره خورده اما برای هیچ‌کس دیگری قابلِ‌خواندن نیست. در این مقاله دقیقاً باز می‌کنیم که این مکانیزم چگونه کار می‌کند، چرا سنگ‌بنای مدل حریم خصوصی Monero است، و چطور با دو ستون دیگر — امضاهای حلقوی و RingCT — دست به دست هم می‌دهد تا تعویض‌پذیری واقعی را رقم بزند.

چرا حریم خصوصیِ گیرنده مسئلهٔ سختی است

بیشتر مردم تصور می‌کنند بخش ترسناک یک بلاکچین شفاف، «مبلغ» تراکنش است. این‌طور نیست. نشت بزرگ‌تر، «گراف آدرس‌ها» است: همان شبکهٔ «چه‌کسی به چه‌کسی پرداخت کرد» که شرکت‌های تحلیل زنجیره بازسازی‌اش می‌کنند تا هویت کاربران را افشا کنند، کیف‌پول‌ها را خوشه‌بندی کنند و سکه‌های «آلوده» را علامت بزنند. در Bitcoin، استفادهٔ دوباره از یک آدرس کل تاریخچهٔ مالی شما را به یک صفحه‌گستردهٔ عمومی تبدیل می‌کند.

Monero سه مسئلهٔ مجزای «قابل‌رؤیت بودن» را با سه ابزار مجزا حل می‌کند و بهتر است این سه را با هم قاطی نکنیم:

• پنهان‌کردن گیرنده: آدرس مخفی تضمین می‌کند هیچ دو پرداختی که به شما می‌رسد یک مقصدِ مشترک روی زنجیره نداشته باشند، بنابراین ناظر بیرونی نمی‌تواند آن‌ها را به هم ربط بدهد.
• پنهان‌کردن فرستنده: امضاهای حلقوی (و از سال ۲۰۲۰ به بعد، الگوریتم CLSAG) ورودی واقعی شما را با چند طعمه مخلوط می‌کنند، طوری که معلوم نیست واقعاً کدام سکه خرج شده است.
• پنهان‌کردن مبلغ: RingCT که با اثبات‌های بازه (range proofs) امن شده، مقدار تراکنش را رمزنگاری می‌کند و در عین حال به شبکه اجازه می‌دهد بررسی کند که هیچ سکه‌ای از هیچ ساخته نشده باشد.

آدرس مخفی به سراغ مسئلهٔ اول می‌رود و این کار را در سمت گیرنده «مجانی» انجام می‌دهد — لازم نیست مثل کاربران حساس‌به‌حریم‌خصوصیِ Bitcoin برای هر پرداخت دستی یک آدرس تازه بسازید. پروتکل این کار را خودکار انجام می‌دهد، میلیاردها بار، بدون هیچ هماهنگی میان فرستنده و گیرنده فراتر از همان یک آدرس عمومی که قبلاً به اشتراک گذاشته‌اید.

آدرس مخفی واقعاً چطور کار می‌کند

ترفند کار بر پایهٔ تبادل کلید دیفی‑هلمن روی منحنی بیضوی (elliptic-curve Diffie-Hellman) و منحنی ed25519 ساخته شده؛ همان خانوادهٔ منحنی که در امضاهای دیجیتال مدرن هم به کار می‌رود. به طرح Monero گاهی «پروتکل آدرس مخفی دوکلیدی» (Dual-Key Stealth Address Protocol) می‌گویند، چون آدرس عمومی شما دو کلید را در خود کدگذاری می‌کند، نه یکی.

دو جفت‌کلید شما

وقتی یک کیف‌پول Monero را از روی عبارت بازیابی (mnemonic seed) می‌سازید، کیف‌پول دو جفت‌کلید مشتق می‌کند:

• کلیدهای خرج (b, B): کلید خصوصیِ خرج یعنی b اجازهٔ خرج‌کردن را می‌دهد؛ جفت عمومی‌اش یعنی B نیمی از آدرس شماست.
• کلیدهای مشاهده (a, A): کلید خصوصیِ مشاهده یعنی a به شما اجازه می‌دهد وجوهِ ورودی را شناسایی کنید؛ جفت عمومی‌اش یعنی A نیمهٔ دیگرِ آدرس شماست.

آدرس عمومی شما، همان رشتهٔ ۹۵ کاراکتری، در اصل ترکیب B و A است که با یک بایت شبکه و یک رقمِ کنترلی (checksum) بسته‌بندی شده. نکتهٔ کلیدی این‌جاست: کلید مشاهده را می‌توان به یک حسابرس یا حسابدار سپرد تا پرداخت‌های ورودی شما را ببیند، بدون آنکه بتواند حتی یک piconero هم خرج کند. کلید خرج همان چیزی است که باید با جانتان از آن محافظت کنید.

فرستنده چه چیزی محاسبه می‌کند

وقتی کسی به شما پرداخت می‌کند، کیف‌پولش این مراحل را به‌صورت خودکار و در کسری از ثانیه طی می‌کند:

1. یک عدد اسکالرِ تصادفی و محرمانه به نام r فقط برای همین یک تراکنش تولید می‌کند.
2. کلید عمومیِ متناظرِ تراکنش یعنی R = r·G را داخل تراکنش منتشر می‌کند (G نقطهٔ پایهٔ منحنی است).
3. با استفاده از کلید عمومیِ مشاهدهٔ شما یک «راز مشترک» محاسبه می‌کند: H(r·A) که در آن H یک هشِ مبتنی بر Keccak است.
4. کلید مقصدِ یکبارمصرف یعنی P = H(r·A)·G + B را مشتق می‌کند و P را به‌عنوان آدرس آن خروجی روی زنجیره می‌نویسد.

همان کلید P آدرس مخفی است. این کلید مختص همین تراکنش است. اگر دو بار به یک نفر پرداخت کنید، دو خروجیِ کاملاً بی‌ربط به دست می‌آید، چون r هر بار متفاوت است. هیچ ناظر بیرونی نمی‌تواند P را به آدرس منتشرشدهٔ شما وصل کند، چون این کار یا به کلید خصوصیِ مشاهدهٔ شما نیاز دارد یا به شکستنِ مسئلهٔ لگاریتم گسسته.

فرستنده برای هر پرداخت یک آدرسِ نو و دست‌نخورده روی بلاکچین می‌نویسد — و گیرنده هرگز مجبور نبوده آن را درخواست کند. این همان نبوغِ خاموشِ آدرس مخفی است.

خودتان چطور پولتان را پیدا می‌کنید

این بخش همان جایی است که تازه‌واردها را شگفت‌زده می‌کند: حالا که آدرس واقعی شما هیچ‌وقت روی زنجیره ظاهر نمی‌شود، کیف‌پولتان از کجا می‌فهمد پرداختی رسیده است؟ پاسخ: اسکن می‌کند. کیف‌پول شما Rِ منتشرشدهٔ هر تراکنش را برمی‌دارد و با استفاده از کلید خصوصیِ مشاهدهٔ شما یعنی a مقدار H(a·R)·G + B را محاسبه می‌کند. بنا بر ریاضیاتِ دیفی‑هلمن داریم a·R = a·r·G = r·a·G = r·A، پس این محاسبه دقیقاً همان P‌ای را بازتولید می‌کند که فرستنده ساخته بود. اگر نتیجه با یکی از خروجی‌های تراکنش بخواند، آن خروجی مال شماست.

به همین دلیل است که یک کیف‌پول همگام‌شدهٔ Monero باید هر تراکنشِ زنجیره را وارسی کند — نمی‌تواند از یک سرور بپرسد «موجودی من چقدر است؟» بدون آنکه فاش کند کدام خروجی‌ها برایش جالب‌اند. هزینهٔ این اسکن، همان بهای حریم خصوصیِ گیرنده است و دلیل این است که کیف‌پول‌های فقط‑مشاهده و ابزارهایی مانند monero-wallet-cli رسمی، مدتی را صرف «به‌روزرسانی» (refresh) می‌کنند.

برای اینکه واقعاً یک خروجیِ دریافت‌شده را خرج کنید، کیف‌پول شما کلید خصوصیِ یکبارمصرف یعنی x = H(a·R) + b را محاسبه می‌کند که به کلید خصوصیِ خرج یعنی b نیاز دارد. همین کلید یکبارمصرف یک «تصویر کلید» (key image) یکتا هم تولید می‌کند — مقداری که به شبکه اجازه می‌دهد خرج مضاعف را تشخیص دهد، بدون آنکه فاش شود کدام خروجی در حال خرج‌شدن است.

آدرس مخفی در برابر سایر روش‌های حفظ حریم خصوصی

ارزشش را دارد ببینیم رویکردِ خودکار و در سطح پروتکلِ Monero کنار گزینه‌هایی که مردم روی زنجیره‌های شفاف به آن‌ها پناه می‌برند کجا می‌ایستد.

تفاوت کلیدی این است که حریم خصوصیِ Monero یک قابلیتِ اختیاری نیست که آن را روشن کنید — بلکه حالتِ پیش‌فرضِ ۱۰۰٪ تراکنش‌های شبکه است. همین فراگیربودن است که تعویض‌پذیری را می‌سازد: چون هیچ سکه‌ای را نمی‌توان از سکهٔ دیگر تشخیص داد یا تا یک منبع «کثیف» ردیابی کرد، هر XMR با هر XMR دیگری کاملاً قابل‌تعویض است. یک میکسر فقط کسانی را پنهان می‌کند که از آن استفاده می‌کنند؛ اما حریم خصوصیِ پیش‌فرض همه را پنهان می‌کند، و همین است که مجموعهٔ ناشناس‌ماندگی را معنادار می‌کند.

جای زیرآدرس‌ها کجاست

در سال ۲۰۱۸، Monero قابلیت «زیرآدرس» (subaddress) را روی همان ماشینِ آدرس مخفی اضافه کرد. زیرآدرس به شما اجازه می‌دهد عملاً بی‌نهایت آدرسِ دریافت بسازید (یکی برای هر مشتری، هر فاکتور، هر کاربرد) که همگی به یک کیف‌پولِ واحد می‌ریزند، بی‌آنکه نشتِ حریم خصوصیِ روش‌های قدیمیِ مبتنی بر «شناسهٔ پرداخت» (payment ID) را داشته باشند. هر زیرآدرس باز هم روی زنجیره به خروجی‌های یکبارمصرفِ غیرقابل‌پیوند تبدیل می‌شود — زیرآدرس‌ها صرفاً یک راحتیِ سازمان‌دهی برای خودِ شما هستند، لایه‌ای روی همان رمزنگاری که چیزها را از دید همهٔ دیگران پنهان می‌کند.

آدرس مخفی در تصویر بزرگ‌تر Monero چه جایی دارد

آدرس مخفی یکی از سه پایهٔ یک چهارپایه است. هر پایه را بردارید، حریم خصوصی فرو می‌ریزد. گیرنده را پنهان کنید اما فرستنده نشت کند، تحلیلگر گراف را رو به عقب می‌پیماید. هر دو طرف را پنهان کنید اما مبلغ نشت کند، آن‌وقت مقادیرِ خاص و متمایز خودشان به اثرانگشت تبدیل می‌شوند. همین دفاعِ لایه‌لایه (defense-in-depth) دلیلِ این است که Monero سرپا مانده، در حالی که سرویس‌های میکسینگِ مستقل بارها در طول سال‌های ۲۰۲۴ و ۲۰۲۵ تعطیل یا به خطر انداخته شدند.

این فناوری هم منجمد نیست. ارتقای طولانی‌مدتِ CLSAG جایگزینِ امضاهای حلقویِ قدیمیِ MLSAG شد تا اندازهٔ تراکنش و زمان تأیید را کاهش دهد، و Bulletproofs و سپس Bulletproofs+ اندازهٔ اثبات‌های بازه‌ای را که از مبالغ محافظت می‌کنند به‌شدت کوچک کردند. نگاهی به آینده هم نشان می‌دهد که تلاشِ «اثبات‌های عضویتِ کل‑زنجیره» (FCMP++) قصد دارد امضاهای حلقوی را به‌طور کامل با یک مجموعه‌اثبات که سرتاسرِ زنجیره را پوشش می‌دهد جایگزین کند — و مجموعهٔ ناشناس‌ماندگیِ فرستنده را از ۱۶ طعمه به عملاً «هر خروجیِ تاکنون ساخته‌شده» برساند. در کنار آن، طرح‌های آدرس‌دهیِ نسل بعد یعنی Seraphis و Jamtis طراحی شده‌اند تا نحوهٔ کارِ آدرس مخفی و کلید مشاهده را نوسازی کنند، از جمله سطح‌بندیِ منعطف‌ترِ کلیدهای مشاهده و کارایی بهترِ اسکن کیف‌پول.

هیچ‌کدام از این موارد در نقشهٔ راه، آدرس مخفی را حذف نمی‌کنند؛ همگی همان ایدهٔ هسته‌ای را پالایش و گسترش می‌دهند. اصلی که همان وایت‌پیپرِ CryptoNote در سال ۲۰۱۴ بنا نهاد — اینکه مقصدِ یک پرداخت باید کلیدی یکبارمصرف باشد که هیچ‌کس جز گیرنده نتواند بازش بشناسد — همچنان شالودهٔ کار است.

یک مرور عملی: دریافتِ یک سوآپ

فرض کنید مقداری Litecoin را از طریق MoneroSwapper به Monero تبدیل می‌کنید و آدرس استاندارد XMR خود را در سفارش می‌چسبانید. این چیزی است که پشت پرده اتفاق می‌افتد:

1. شما آدرس عمومی‌تان را به اشتراک می‌گذارید — یک رشته، که هر چند بار بخواهید با خیال راحت دوباره استفاده می‌شود.
2. کیف‌پولِ فرستنده یک rِ تصادفیِ تازه تولید می‌کند، کلید خروجیِ یکبارمصرفِ شما یعنی P را محاسبه می‌کند و تراکنش را به استخر حافظه (mempool) پخش می‌کند.
3. تراکنش با ثبتِ P روی زنجیره تأیید می‌شود. برای هر کسی که تماشا می‌کند، این فقط یک خروجیِ ناشناس در میان انبوهِ خروجی‌هاست، بدون هیچ پیوندی به شما.
4. کیف‌پول شما که بلاک‌های جدید را اسکن می‌کند، P را با کلید خصوصیِ مشاهده‌اش دوباره محاسبه می‌کند، خروجی را تشخیص می‌دهد و موجودی شما را شارژ می‌کند.

در هیچ نقطه‌ای آدرس واقعی شما با بلاکچین تماس پیدا نکرد. اگر هفتهٔ بعد یک سوآپِ دوم به همان آدرس دریافت کنید، آن دو خروجی هیچ ارتباطِ قابل‌رؤیتی با هم ندارند. این همان واقعیتِ روزمرهٔ استفاده از Monero است — حریم خصوصی نامرئی است، خودکار است و فراتر از حفظِ امنِ عبارت بازیابی، هیچ کاری از شما نمی‌خواهد.

چرا حریم خصوصیِ سمتِ گیرنده برای کاربران منطقهٔ ما اهمیت ویژه دارد

در بازارهای ارز دیجیتالِ فارسی‌زبان، بسیاری از کاربران ناچارند نقل‌وانتقال‌ها را از مسیرهای غیرمستقیم، صرافی‌های نظیربه‌نظیر یا واسطه‌ها انجام دهند. در چنین فضایی، اگر آدرسِ دریافتِ شما روی زنجیرهٔ شفاف قابلِ‌ردیابی باشد، یک بار اشتراک‌گذاریِ آن می‌تواند کل الگوی تراکنش‌های آینده‌تان را افشا کند. اینجاست که مدلِ آدرس مخفیِ Monero فرق ماهوی دارد: شما یک رشتهٔ ثابت را آزادانه منتشر می‌کنید، اما هیچ دو دریافتی روی زنجیره به هم گره نمی‌خورند.

توجه داشته باشید که حریم خصوصیِ پروتکلی، تکلیفِ گزارش‌دهیِ مالیاتیِ شما را حذف نمی‌کند؛ قوانین مالیاتی به کاربر مربوط می‌شود، نه به شفافیتِ زنجیره. در ایران، مرجعِ مالیاتی همان سازمان امور مالیاتی است و سیاست‌های ارزی زیر نظر بانک مرکزی تعیین می‌شود. کلید مشاهدهٔ Monero دقیقاً برای همین سناریوها مفید است: می‌توانید دسترسیِ فقط‑مشاهده را به یک حسابدار بدهید تا ورودی‌ها را ببیند و گزارش تهیه کند، بی‌آنکه توانِ خرجِ سکه‌ها را به دست آورد.

پرسش‌های متداول

آیا آدرس Monero من همان آدرس مخفی است؟

خیر. آدرسی که کپی و به اشتراک می‌گذارید (همان رشتهٔ ۹۵ کاراکتری که با «۴» شروع می‌شود) آدرس عمومیِ شماست. آدرس مخفی همان کلیدِ یکبارمصرفی است که فرستنده از روی آن مشتق می‌کند و روی بلاکچین می‌نویسد. خودِ آدرس عمومیِ شما هرگز روی زنجیره ظاهر نمی‌شود — فقط خروجی‌های یکبارمصرفِ غیرقابل‌پیوند ظاهر می‌شوند.

آیا می‌توانم آدرس Monero خود را با خیال راحت دوباره استفاده کنم؟

بله. برخلاف Bitcoin، استفادهٔ مجدد از آدرس Monero هیچ چیزی را نشت نمی‌دهد، چون هر پرداختِ ورودی روی یک آدرس مخفیِ متمایز می‌نشیند که ناظران نمی‌توانند آن را به آدرس منتشرشدهٔ شما یا به یکدیگر وصل کنند. بسیاری از کاربران هنوز زیرآدرس‌ها را برای سازمان‌دهیِ وجوهِ ورودی ترجیح می‌دهند، اما این یک راحتی است، نه یک الزامِ حریم خصوصی.

اگر آدرس‌ها پنهان‌اند، کیف‌پول من چطور وجوهِ ورودی را می‌بیند؟

کیف‌پول شما از کلید خصوصیِ مشاهده استفاده می‌کند تا هر تراکنش را اسکن کند و بررسی کند آیا هر خروجی برای شما در نظر گرفته شده یا نه. به همین دلیل است که کیف‌پول‌ها باید «همگام» (sync) یا «به‌روزرسانی» شوند — هیچ سروری وجود ندارد که موجودی‌تان را به شما بگوید بی‌آنکه شما فاش کنید کدام خروجی‌ها برایتان مهم‌اند. کلید مشاهده به شما اجازهٔ شناساییِ وجوه را می‌دهد؛ اما برای جابه‌جاییِ واقعیِ آن‌ها، کلید خرجِ جداگانه لازم است.

آیا به اشتراک‌گذاریِ کلید مشاهده‌ام به کسی اجازهٔ دزدیدنِ سکه‌هایم را می‌دهد؟

خیر. کلید خصوصیِ مشاهده فقط توانِ دیدنِ تراکنش‌های ورودی را می‌دهد — مفید برای یک حسابرس، حسابدار یا گزارش‌دهیِ مالیاتی. خرج‌کردن به کلید خصوصیِ خرج نیاز دارد که دارندهٔ کلید مشاهده آن را در اختیار ندارد. عبارت بازیابیِ (mnemonic) کاملِ خود را محرمانه نگه دارید، چون می‌تواند هر دو کلید را از نو بسازد.

آیا FCMP++ یا Seraphis آدرس مخفی را حذف می‌کنند؟

خیر. این ارتقاها به‌ترتیب حریم خصوصیِ سمتِ فرستنده و سامانه‌های اثبات و سپس لایهٔ آدرس‌دهی را هدف می‌گیرند. مفهومِ هسته‌ایِ کلیدهای مقصدِ یکبارمصرف و غیرقابل‌پیوند پابرجا می‌ماند. Seraphis و Jamtis هدفشان پالایشِ کلیدهای مشاهده و کارایی اسکن است، نه افشای آدرس‌های گیرنده.

جمع‌بندی

آدرس مخفی همان دلیلی است که یک آدرس Monero می‌تواند هم‌زمان عمومی و خصوصی باشد: شما یک رشته را به جهان مخابره می‌کنید، اما هر پرداخت به آن، روی زنجیره به یک خروجیِ منزوی و غیرقابل‌تشخیص تبدیل می‌شود. در کنار امضاهای حلقوی که فرستنده را پنهان می‌کنند و RingCT که مبلغ را پنهان می‌کند، آدرس مخفی به Monero مدلی از حریم خصوصی می‌دهد که اجباری است، خودکار است و یکدست روی هر تراکنش اعمال می‌شود — همان شرایطی که تعویض‌پذیریِ واقعی را ممکن می‌سازد.

اگر می‌خواهید این محافظت از همان لحظه‌ای که سکه‌هایتان می‌رسند برقرار باشد، به‌دست‌آوردنِ XMR از طریق یک سوآپِ بدونِ ثبتِ گزارش و بدونِ حساب کاربری به همان اندازهٔ خودِ رمزنگاری اهمیت دارد. می‌توانید Monero را به‌صورت ناشناس بخرید یا یک موجودیِ موجود را از طریق MoneroSwapper تبدیل کنید، و ماشینِ آدرس مخفی بی‌سروصدا بقیهٔ کار را انجام می‌دهد — تولیدِ یک مقصدِ یکبارمصرف که هیچ کاوشگر بلاکچین، صرافی یا تحلیلگری هرگز نمی‌تواند تا شما ردیابی‌اش کند.