Assinaturas em Anel do Monero: Como o XMR Esconde
Assinaturas em Anel do Monero: Como o XMR Esconde Cada Remetente
Quando você assina uma transação em Bitcoin, a rede enxerga o seu endereço, todo o histórico do seu saldo e a UTXO exata que foi gasta. Quando você assina uma transação em Monero em 2026, a rede enxerga um anel com dezesseis possíveis assinantes — e não consegue provar matematicamente qual deles era você. Essa única escolha de arquitetura, refinada por mais de uma década de pesquisa criptográfica desde o whitepaper do CryptoNote em 2014 até as atuais assinaturas em anel CLSAG, é a razão pela qual o Monero continua sendo a única criptomoeda Layer-1 relevante com privacidade obrigatória no nível do protocolo.
Este guia destrincha como as assinaturas em anel realmente funcionam, por que o hard fork de agosto de 2022 foi decisivo, o que muda quando o FCMP++ for ativado e como cada swap concluído no MoneroSwapper herda essas garantias de forma automática. Não é preciso ter formação prévia em criptografia — mas espere matemática concreta, sem rodeios.
Por Que as Assinaturas em Anel São o Núcleo da Privacidade do Monero
Toda blockchain pública resolve o mesmo problema contábil: provar que uma moeda existe, provar que o remetente é o dono dela e impedir que seja gasta duas vezes. O Bitcoin resolve isso com entradas transparentes e um conjunto de UTXOs que qualquer um pode auditar. O Monero resolve com três camadas empilhadas — assinaturas em anel, endereços stealth e RingCT — e as assinaturas em anel são a camada que oculta o remetente.
Sem ofuscação do remetente, mesmo valores totalmente criptografados vazam metadados. Empresas de vigilância on-chain como Chainalysis e CipherTrace construíram seus valuations justamente porque o campo de remetente no Bitcoin é texto puro. As assinaturas em anel do Monero quebram essa superfície inteira. Cada entrada de transação é assinada não por uma única chave, mas por um conjunto, e o validador confirma apenas que *alguém* daquele conjunto autorizou o gasto.
- Ambiguidade do remetente: Quem efetivamente gastou é computacionalmente indistinguível de quinze chamarizes retirados de saídas anteriores da própria cadeia.
- Sem trusted setup: Diferente dos esquemas zk-SNARK, que dependem de cerimônias para gerar parâmetros, as assinaturas em anel usam apenas as suposições padrão de curvas elípticas sobre Curve25519.
- Obrigatórias, não opcionais: Toda transação Monero, desde o lançamento original em 2014, carrega uma assinatura em anel. Não existe um "modo transparente" no qual empresas de vigilância possam se apoiar como linha de base.
- Fungibilidade por construção: Como as saídas não podem ser rastreadas de forma confiável até um remetente, nenhuma moeda pode ser marcada, colocada em lista negra ou recusada por uma exchange citando histórico anterior.
É exatamente esse último ponto que vem dando dor de cabeça aos reguladores da União Europeia e da Coreia do Sul desde as ondas de deslistagem de 2024: não dá para aplicar heurísticas da travel rule a um protocolo que se recusa a revelar quem enviou o quê para quem. As assinaturas em anel são a razão técnica pela qual o Monero sobreviveu enquanto moedas de privacidade transparente como Verge ou Beam escorregaram para a irrelevância.
Como uma Assinatura em Anel do Monero Funciona na Prática
Pule esta seção se você só precisa de um modelo mental funcional — mas, se quiser entender por que a matemática se sustenta, a construção é mais elegante do que a maioria dos explicadores sugere. O esquema atual, CLSAG, substituiu o antigo algoritmo MLSAG no hard fork de 13 de agosto de 2022 e reduziu o tamanho da assinatura em aproximadamente 25%, mantendo as mesmas garantias de segurança.
A Ideia Central: Assinar em Nome de um Grupo
Uma assinatura digital tradicional prova "eu, detentor da chave privada x, autorizo esta transação". Uma assinatura em anel prova "um dos detentores das chaves privadas x₁, x₂, …, x₁₆ autorizou esta transação, e você não consegue determinar qual". O validador checa uma única equação que só fecha se o provador conhecer pelo menos uma chave privada do conjunto, mas a equação não revela nenhuma informação sobre qual chave foi usada.
Na implementação do Monero, o "anel" é construído no momento da criação da transação pela carteira do remetente. A carteira escolhe a saída real do gasto mais quinze saídas-chamariz de blocos anteriores, pondera tudo com uma distribuição gama que reflete a idade realista de gasto do XMR (saídas mais recentes têm maior probabilidade de serem gastas) e empacota tudo na assinatura.
Key Images: Impedindo Gasto Duplo Sem Revelar o Remetente
A objeção óbvia: se a rede não consegue dizer qual saída foi de fato gasta, o que impede alguém de gastar a mesma moeda duas vezes em dois anéis diferentes? A resposta é a key image — um hash determinístico derivado da chave privada real e que é único para aquela saída específica. Toda transação publica sua key image ao lado da assinatura em anel. Os nós mantêm um conjunto de key images já vistas e qualquer repetição é rejeitada de imediato.
O detalhe crucial: a key image é uma função de mão única. Conhecê-la não diz nada sobre a chave privada subjacente nem sobre qual saída do anel foi gasta. Ela só permite que a rede reconheça uma repetição. Esse é o primitivo criptográfico que permite ao Monero oferecer, no mesmo envelope, a desvinculabilidade *e* uma contabilidade monetária sólida.
Seleção de Chamarizes: Onde a Maioria dos Vazamentos de Privacidade Costumava se Esconder
Nos primeiros anos do Monero (2014–2017), os usuários podiam escolher o tamanho do anel manualmente, o que criava um problema evidente: quem usava anel de tamanho 1 (só ele mesmo) era trivialmente rastreável, e mesmo anéis pequenos podiam ser atacados estatisticamente. Desde o hard fork de outubro de 2022, o protocolo impõe um tamanho de anel de exatamente 16 para toda e qualquer transação. A uniformidade é, em si, uma propriedade de privacidade — quando todas as transações se parecem, o conjunto de anonimato passa a ser a cadeia inteira.
A seleção de chamarizes segue uma distribuição gama calibrada contra padrões reais de gasto do XMR. Uma seleção puramente aleatória deixaria saídas novas super-representadas (elas aparecem em muitos anéis antes de serem gastas) e saídas antigas sub-representadas, dando margem a adversários estatísticos. O modelo gama aproxima a forma como humanos e exchanges efetivamente movimentam moedas, de modo que um gasto real se dissolve naturalmente no ruído da cadeia ao redor.
CLSAG, Bulletproofs+ e a Evolução Desde 2014
As assinaturas em anel do Monero não são um projeto congelado. Todo hard fork relevante desde 2017 apertou a criptografia, encolheu o tamanho da assinatura ou as duas coisas. Entender a linha do tempo ajuda a explicar por que as análises forenses on-chain que "funcionavam" em 2018 estão obsoletas em 2026.
| Era | Esquema | Ano | Mudança principal |
|---|---|---|---|
| Gênese | CryptoNote / LSAG | 2014 | Assinaturas em anel originais, tamanho do anel opcional. |
| RingCT | MLSAG + commits de Pedersen | Jan 2017 | Oculta os valores além dos remetentes. |
| Bulletproofs | MLSAG + Bulletproofs | Out 2018 | Provas de intervalo ~80% menores, taxas caem. |
| Anel fixo 11 | MLSAG | Mar 2019 | Tamanho de anel obrigatório para evitar fingerprinting. |
| CLSAG | CLSAG + Bulletproofs | Ago 2022 | ~25% menor, verificação mais rápida. |
| Bulletproofs+ | CLSAG + Bulletproofs+ | Ago 2022 | Mais ~5–7% de redução de tamanho. |
| Anel 16 | CLSAG | Ago 2022 | Conjunto de anonimato por entrada aumentado. |
| FCMP++ (planejado) | Full-Chain Membership Proofs | 2026 | Conjunto de anonimato = cadeia inteira, ~100M+ saídas. |
A grande atualização no horizonte é o FCMP++ (Full-Chain Membership Proofs Plus Plus), com ativação prevista para o final de 2026. Em vez de escolher 15 chamarizes em toda a cadeia, cada transação vai provar pertencimento ao conjunto *inteiro* de saídas históricas. O conjunto de anonimato salta de 16 para cerca de 100 milhões, com um argumento criptográfico compacto o bastante para ser verificado em milissegundos.
Se você pensa nas assinaturas em anel de hoje como esconder uma agulha em um palheiro de 16 fios de palha, o FCMP++ troca o palheiro pelo trigal inteiro — e o validador continua confirmando que há uma agulha ali dentro, em algum lugar.
É por isso que os desenvolvedores do Monero descrevem a futura arquitetura Seraphis/Jamtis como uma atualização geracional, e não um patch incremental. Ela não apenas alarga o envelope de privacidade existente; elimina por completo a noção de um "anel" como um conjunto finito e escolhível.
Passo a Passo: O Que Acontece Quando Você Envia 0,5 XMR
Vamos rastrear uma transação concreta. Você abre a Feather Wallet ou a Cake Wallet, cola o endereço do destinatário, digita 0,5 XMR e clica em enviar. Por trás dos panos, a sequência a seguir acontece — quase tudo em menos de dois segundos num notebook mediano.
- Seleção de saídas: Sua carteira identifica qual das suas saídas não gastas cobre os 0,5 XMR mais a taxa. Suponha que escolha uma saída de 0,7 XMR.
- Busca de chamarizes: A carteira consulta um nó (seu ou remoto) para obter quinze saídas-chamariz plausíveis, sorteadas a partir de uma distribuição ponderada por gama ao longo do histórico da cadeia.
- Construção do anel: Sua saída real é embaralhada dentro do anel de dezesseis. A ordem é aleatorizada para que a posição, por si só, não vaze nada.
- Geração de endereço stealth: O endereço público do destinatário é convertido em uma saída stealth de uso único, que apenas a view key dele consegue detectar. Nem o endereço público do destinatário aparece na cadeia.
- Compromissos de Pedersen: Os valores (0,5 enviado, 0,199 de troco, ~0,001 de taxa) são criptografados em commits de Pedersen. Provas de intervalo (Bulletproofs+) garantem que cada um é não negativo sem revelar o valor.
- Assinatura CLSAG: Sua carteira produz uma única assinatura CLSAG que, simultaneamente, prova o pertencimento ao anel e ancora a key image. Esse é o coração criptográfico da transação.
- Broadcast via Dandelion++: A transação assinada entra na mempool pelo esquema de propagação stem-then-fluff do Dandelion++, que ofusca o IP do nó de origem.
- Confirmação: Aproximadamente dois minutos depois, a transação aterriza em um bloco. Dez confirmações (~20 minutos) é o limiar de finalidade padrão usado pela maioria das exchanges e comerciantes.
Da perspectiva de um observador, tudo o que fica visível na cadeia é: dezesseis membros do anel (um real, quinze chamarizes), uma key image (prova que não houve gasto duplo), dois destinos de saída stealth (um seu, para o troco; outro deles, para o pagamento) e dois compromissos de Pedersen. O valor, o remetente e o destinatário ficam todos ocultos criptograficamente.
Assinaturas em Anel na Prática: um Swap pelo MoneroSwapper
Teoria é uma coisa. Ver as garantias de privacidade sobreviverem a uma troca real é outra. Quando você faz swap de Bitcoin para Monero pelo MoneroSwapper, a perna BTC da operação é totalmente transparente na cadeia do Bitcoin — isso é inevitável, já que o Bitcoin não oferece privacidade nativa. Mas, no instante em que aqueles fundos viram XMR, as assinaturas em anel assumem o controle.
Imagine uma freelancer paulistana em 2026 recebendo BTC de um cliente nos Estados Unidos. Para pagar o aluguel em São Paulo e ainda enviar uma mesada em XMR para a família em Lisboa, ela manda o BTC para um endereço de depósito do MoneroSwapper e recebe XMR no endereço stealth da Cake Wallet. Daquele ponto em diante, qualquer empresa de chain analysis que olhe o saldo de XMR vê apenas saídas protegidas por assinaturas em anel. Não há nenhum elo entre a perna BTC e os pagamentos em Monero que ela faz depois — nenhum endereço compartilhado, nenhum clustering, nenhum grafo entrada-saída do tipo em que a analítica do Bitcoin se apoia.
É por isso que as exchanges sem KYC que passam pelo Monero viraram a recomendação padrão para viajantes, jornalistas e pequenos negócios em jurisdições com vigilância financeira agressiva — e, no Brasil, num momento em que a Receita Federal já cruza dados de exchanges domésticas via IN 1.888 e o Drex se aproxima de um trilho oficial totalmente rastreável, esse argumento ganhou ainda mais peso. A privacidade não é uma camada parafusada na exchange; ela é matematicamente garantida pelo protocolo subjacente no momento em que os fundos entram no lado XMR.
Perguntas Frequentes
Qual a diferença entre uma assinatura em anel e uma assinatura digital comum?
Uma assinatura comum prova que uma chave privada específica autorizou uma mensagem — o validador descobre exatamente quem assinou. Uma assinatura em anel prova que *uma de N* chaves privadas autorizou a mensagem, sem revelar qual. No Monero, N é atualmente 16, o que significa que toda entrada de transação é assinada por um conjunto indistinguível de dezesseis possíveis gastadores.
A análise de cadeia consegue, em algum momento, des-anonimizar uma assinatura em anel do Monero?
Ataques estatísticos contra o Monero antigo (pré-2017) tiveram sucesso quando os anéis eram minúsculos ou selecionáveis. Desde que o hard fork de agosto de 2022 impôs anel de tamanho 16 com seleção de chamarizes ponderada por gama, nenhum artigo revisado por pares demonstrou des-anonimização confiável na camada do protocolo. Erros operacionais — reutilizar endereços fora do Monero, vazar metadados em exchanges ou correlações temporais — continuam sendo a verdadeira superfície de ataque.
Por que o tamanho do anel é limitado em 16 em vez de ser maior?
O tamanho da assinatura e o custo de verificação crescem com o tamanho do anel, e anéis maiores fazem cada nó armazenar, sincronizar e validar mais dados. Dezesseis é o ponto de equilíbrio atual entre tamanho do conjunto de anonimato e inchaço da cadeia. A próxima atualização FCMP++ contorna esse trade-off por completo, substituindo o anel por uma prova de pertencimento sucinta de toda a cadeia e ampliando o conjunto de anonimato efetivo para toda saída já criada.
O que é uma key image, em linguagem direta?
Uma key image é uma impressão digital única, derivada da chave privada real sendo gasta. Toda transação publica uma. Os nós monitoram todas as key images já vistas e rejeitam qualquer repetição, e é assim que o Monero impede o gasto duplo. O ponto crucial: a key image não pode ser revertida para identificar a chave privada ou a saída específica de onde veio — ela só sinaliza duplicatas.
As assinaturas em anel do Monero são resistentes a computação quântica?
Ainda não. As assinaturas em anel CLSAG atuais se apoiam no problema do logaritmo discreto sobre a Curve25519, que um computador quântico suficientemente grande poderia quebrar com o algoritmo de Shor. O Monero Research Lab acompanha candidatos pós-quânticos (esquemas baseados em reticulados e em hashes), e o Seraphis está sendo desenhado já considerando caminhos de migração resistentes a computação quântica. Em 2026, não existe ameaça quântica em produção, mas o roadmap reconhece a preocupação de longo prazo.
Usar uma carteira de hardware muda como as assinaturas em anel funcionam?
Não. A Trezor Safe 3 e os dispositivos Ledger que suportam Monero executam a mesma operação de assinatura CLSAG que uma carteira de software, só que dentro do elemento seguro. A construção do anel, a seleção de chamarizes e a geração da key image acontecem de forma idêntica. O valor da carteira de hardware está em manter a sua spend key offline, não em alterar o protocolo criptográfico.
Conclusão
As assinaturas em anel não são uma feature que o Monero anuncia em peça de marketing — elas são a parede mestra sobre a qual o protocolo inteiro foi construído. Do design original do CryptoNote em 2014, passando por MLSAG e Bulletproofs, até o CLSAG atual com anel obrigatório de tamanho 16, e seguindo em direção ao FCMP++ ainda em 2026, cada refinamento apertou a mesma promessa fundamental: o remetente de uma transação em XMR não pode ser identificado por ninguém que observe a cadeia.
Essa garantia é o que torna o Monero usável como dinheiro de verdade na internet, e é o que cada swap roteado pelo MoneroSwapper herda no instante em que os fundos tocam o lado XMR. Se você quer transformar a teoria em prática, o próximo passo é direto — instale uma carteira que suporte CLSAG (Feather, Cake ou Monero GUI servem), e em seguida roteie um pequeno swap por uma exchange sem KYC e observe o quão pouco a sua transação revela na cadeia. A matemática faz o resto.
🌍 Leia em