Bulletproofs+ در برابر Bulletproofs مونرو: واقعاً چه چیزی تغییر کرد؟

در ۱۳ اوت ۲۰۲۲، ارتقای شبکهٔ Monero بی‌سروصدا قطعه‌ای از رمزنگاری را جابه‌جا کرد که تقریباً هیچ کاربری هرگز آن را نمی‌بیند، اما همه به آن تکیه می‌کنند. Bulletproofs+ جای اثبات‌های بازهٔ اصلی، یعنی Bulletproofs، را گرفت؛ بایت‌های بیشتری از هر تراکنش کنار زد و زمان تأیید را برای هزاران نود کاملی که زنجیره را پاس می‌دارند کوتاه‌تر کرد. اگر تا به حال XMR را از طریق سرویسی بدون KYC مانند MoneroSwapper جابه‌جا کرده باشید، تراکنش شما یکی از همین اثبات‌ها را به‌عنوان باری رمزنگارانه با خود حمل کرده است — سندی ریاضی بر اینکه شما پنهانی سکه‌ای از هیچ نمی‌سازید.

این دو نام تقریباً یکسان به گوش می‌رسند و یادداشت‌های انتشار به‌ندرت فاصلهٔ میانشان را توضیح می‌دهند. آیا Bulletproofs+ یک ارتقای حریم خصوصی است؟ یک ارتقای سرعت؟ یا سیستمی کاملاً تازه؟ پاسخ کوتاه: این یک ارتقای کارایی است، نه حریم خصوصی. در این راهنما باز می‌کنیم که هر اثبات دقیقاً چه می‌کند، چرا Monero آن‌ها را به‌ترتیب در اکتبر ۲۰۱۸ و اوت ۲۰۲۲ پذیرفت، و تفاوت عملی میانشان برای یک تراکنش معمولی در سال ۲۰۲۶ چقدر معنادار است.

چرا مونرو اصلاً به اثبات بازه نیاز دارد؟

Monero مبلغ تراکنش‌ها را با RingCT (تراکنش‌های محرمانهٔ رینگی) پنهان می‌کند؛ سازوکاری که در ژانویهٔ ۲۰۱۷ معرفی شد. به‌جای نوشتن مبلغ به‌صورت متن آشکار، هر خروجی یک تعهد پدرسن (Pedersen) به شکل C = xG + aH را ذخیره می‌کند که در آن a مبلغ پنهان، x یک عامل کورکننده تصادفی، و G و H دو مولّد ثابت روی خمیدگی بیضوی هستند. شبکه می‌تواند برابری ورودی‌ها و خروجی‌ها را تأیید کند، بی‌آنکه هرگز خود اعداد را بداند.

اما همین پنهان‌کاری یک حفرهٔ خطرناک می‌سازد. اگر هیچ‌کس نتواند مبلغ را ببیند، چه چیزی جلوی فرستندهٔ بدخواه را می‌گیرد تا به مقداری غول‌آسا تعهد بدهد که از مرتبهٔ گروهی خمیدگی فراتر رود و عملاً XMR را از هیچ بسازد؟ اینجاست که اثبات‌های بازه نان خود را حلال می‌کنند.

• دفاع در برابر تورم: یک اثبات بازه ثابت می‌کند که هر مبلغ پنهان درون بازهٔ معتبر [0, 2⁶⁴) جای دارد، بدون آنکه رقم را فاش کند. نه مبلغ منفی، نه سرریز عددی، و نه سکهٔ قلابی.
• دانش صفر: اثبات هیچ چیزی دربارهٔ مقدار واقعی بیرون نمی‌دهد. تأییدکننده فقط می‌فهمد «این عدد در بازه است» و هرگز خود عدد را نمی‌بیند.
• بدون راه‌اندازی مورد اعتماد: برخلاف بسیاری از ساختارهای zk-SNARK، نه Bulletproofs و نه Bulletproofs+ به هیچ مراسم محرمانه‌ای نیاز ندارند. هیچ «زبالهٔ سمّی» وجود ندارد که بعداً بتوان از آن برای جعل اثبات بهره برد.
• تجمیع: یک اثبات واحد می‌تواند همهٔ خروجی‌های یک تراکنش را یکجا پوشش دهد، طوری که حجم تنها به‌صورت لگاریتمی رشد می‌کند، نه خطی به ازای هر خروجی تازه.

هر بایتی که صرف این اثبات‌ها می‌شود تا ابد روی بلاک‌چین می‌ماند و روی هر نودی در سراسر جهان تکثیر می‌شود. به همین دلیل کارایی اثبات بازه یک پاورقی نیست — مستقیماً کارمزدها، زمان همگام‌سازی و بار ذخیره‌سازی بلندمدت Monero را شکل می‌دهد، و همهٔ این‌ها زیربنای جایگزین‌پذیری (fungibility) آن هستند.

Bulletproofs: جهش بزرگ سال ۲۰۱۸

پیش از Bulletproofs، مونرو برای ساختن اثبات‌های بازه از امضاهای رینگی برومیان (Borromean) استفاده می‌کرد. کار می‌کردند، اما از نظر فضا بی‌رحم بودند: اندازهٔ اثبات به‌صورت خطی با تعداد بیت‌های در حال اثبات بزرگ می‌شد و یک تراکنش سادهٔ دوخروجی تا حدود ۱۳ کیلوبایت باد می‌کرد. روی زنجیره‌ای حریم‌محور که پیشاپیش داده‌های سنگین امضای رینگی را حمل می‌کند، این وضع پایدار نبود.

Bulletproofs که در سال ۲۰۱۷ توسط Benedikt Bünz، Jonathan Bootle و دیگر نویسندگان پیشنهاد شد، با ارتقای شبکهٔ اکتبر ۲۰۱۸ روی شبکهٔ اصلی مونرو نشست. نتیجه چشمگیر بود. یک تراکنش معمولی حدود ۸۰٪ کوچک شد و از نزدیک ۱۳ کیلوبایت به حدود ۲٫۵ کیلوبایت رسید، و کارمزد میانه بیش از ۹۵٪ فرو ریخت. این هنوز یکی از بزرگ‌ترین دستاوردهای کارایی در تاریخ Monero است.

طرز کار Bulletproofs در پشت صحنه

موتور درون Bulletproofs همان «برهان حاصل‌ضرب داخلی» (IPA) است. اثبات‌کننده بیت‌های مبلغ را در دو بردار رمزگذاری می‌کند و باید تأییدکننده را قانع سازد که حاصل‌ضرب داخلی آن دو بردار برابر با مقداری مشخص است. پروتکل به‌جای فرستادن کل بردارها، چند دور را اجرا می‌کند و در هر دور طول بردار را نصف می‌کند. پس از log₂(n) دور، تنها مشتی نقطهٔ خمیدگی برای ارسال باقی می‌ماند.

همین مقیاس‌پذیری لگاریتمی است که جادو می‌کند. اثبات یک بازهٔ ۶۴ بیتی تنها به اثباتی در حد چند صد بایت نیاز دارد و تجمیع چند خروجی فقط چند عنصر اضافه می‌افزاید، نه یک اثبات تازهٔ کامل. برای دانش‌صفر کردن برهان حاصل‌ضرب داخلی، Bulletproofs خام چند عبارت کورکنندهٔ اضافی را هم در کنار برهان اصلی می‌فرستد.

تأیید دسته‌ای

Bulletproofs همچنین به نودها اجازه می‌دهد چندین اثبات را با هم و در یک عملیات دسته‌ای واحد تأیید کنند، که بسیار ارزان‌تر از وارسی تک‌تک آن‌هاست. این موضوع زمانی اهمیت عظیمی پیدا می‌کند که یک نود کامل سال‌ها تاریخچه را همگام می‌کند یا بلاکی تازه‌استخراج‌شده را که از تراکنش‌های mempool انباشته است، اعتبارسنجی می‌کند.

Bulletproofs+ در برابر Bulletproofs: تفاوت‌های واقعی

Bulletproofs+ از مقاله‌ای در سال ۲۰۲۰ به‌قلم Heewon Chung، Kyoohyung Han، Chanyang Ju، Myungsun Kim و Jae Hong Seo می‌آید. نوآوری هستهٔ آن جایگزین کردن برهان حاصل‌ضرب داخلی با یک برهان حاصل‌ضرب داخلی وزن‌دار (WIP) است. این WIP کورسازی دانش‌صفر را مستقیماً درون خودِ برهان تا می‌کند، طوری که اثبات‌کننده دیگر لازم نیست عبارت‌های نقاب‌کنندهٔ جداگانه‌ای را که Bulletproofs خام نیاز داشت، ارسال کند.

عناصر ارسالی کمتر یعنی اثباتی کوچک‌تر و تأییدی اندکی ارزان‌تر. در پیاده‌سازی مونرو، Bulletproofs+ بخشِ اثبات بازهٔ یک تراکنش را حدود ۵ تا ۷ درصد کوچک کرد و تأیید را به‌اندازهٔ متوسطی سریع‌تر ساخت. این یک پالایش تدریجی است — به‌هیچ‌وجه نزدیک جهش ۸۰ درصدی سال ۲۰۱۸ نیست، اما صرفه‌جویی‌ای رایگان است که در میلیون‌ها تراکنش و ذخیره‌سازی هر نود انباشته می‌شود.

نکتهٔ کلیدی این است که ویژگی‌های حریم خصوصی در هر دو یکسان است. هر دو اثبات مبالغ را به یک اندازه پنهان می‌کنند؛ هر دو به همان بازهٔ ۶۴ بیتی و همان طرح تعهد پدرسن تکیه دارند. هر کس Bulletproofs+ را به‌عنوان چیزی «خصوصی‌تر» بازاریابی کند، در اشتباه است. حریم خصوصی از RingCT، امضاهای رینگی و CLSAG می‌آید — اثبات بازه فقط راستگویی دربارهٔ مبلغ را تضمین می‌کند.

ارتقای اوت ۲۰۲۲ کاری بیش از تعویض اثبات بازه کرد. در همان به‌روزرسانی، برچسب‌های دید (view tags) هم عرضه شد که اسکن کیف‌پول را حدود ۴۰٪ تندتر کرد، و اندازهٔ رینگ از ۱۱ به ۱۶ طعمه افزایش یافت. Bulletproofs+ کمک کرد وزن اضافه‌ای را که این رینگ‌های بزرگ‌تر می‌آوردند جبران شود و تراکنش‌ها سبک بمانند، حتی با بزرگ‌تر شدن مجموعهٔ ناشناسی.

سفر یک اثبات بازه در دل یک تراکنش

دیدن جای این اثبات‌ها در چرخهٔ زندگی یک پرداخت XMR کمک می‌کند مطلب جا بیفتد. گام‌های زیر، مسیر یک خروجی واحد را از لحظهٔ ساخت تا تأیید دنبال می‌کنند.

1. تعهد به مبلغ. کیف‌پول شما یک عامل کورکننده تصادفی برمی‌گزیند و برای هر خروجی تعهد پدرسن C = xG + aH را می‌سازد و مقدار را روی زنجیره پنهان می‌کند.
2. ساخت اثبات. کیف‌پول یک اثبات بازهٔ تجمیع‌شدهٔ Bulletproofs+ می‌سازد که همهٔ خروجی‌ها را پوشش می‌دهد و ثابت می‌کند هر مبلغ درون [0, 2⁶⁴) است، بی‌آنکه آن را آشکار کند.
3. انتشار. تراکنش امضاشده — داده‌های امضای رینگی، تصویر کلید (key image)، تعهدها و اثبات بازه — از طریق Dandelion++ در شبکه پخش می‌شود و در mempool می‌نشیند.
4. تأیید. هر نود کامل اثبات بازه را وارسی می‌کند (اغلب به‌صورت دسته‌ای با دیگر اثبات‌ها)، تراز ورودی‌ها و خروجی‌ها را تأیید می‌کند و پیش از بازپخش، امضاهای رینگی را اعتبارسنجی می‌کند.
5. تثبیت. یک ماینر تراکنش را در یک بلاک می‌گنجاند؛ پس از ده تأیید، وجوه تسویه‌شده و قابل‌خرج تلقی می‌شوند.

اگر تنها یک اثبات بازه در تأیید رد شود، کل تراکنش رد می‌شود — هیچ پذیرش «نیمه‌کاره‌ای» در کار نیست. همین قاعدهٔ همه‌یا‌هیچ است که تضمین ضدتورم را نفوذناپذیر می‌کند.

این تفاوت در عمل چه معنایی دارد؟

برای یک کاربر معمولی، گذار از Bulletproofs به Bulletproofs+ نامرئی بود. کیف‌پول خود را به‌روزرسانی کردید و تراکنش‌هایتان بی‌هیچ سروصدایی شروع به ساختن اثبات تازه‌تر کردند. هیچ سکه‌ای غیرقابل‌خرج نشد، هیچ نشانی‌ای تغییر نکرد و هیچ‌چیز در وضعیت حریم خصوصی شما جابه‌جا نشد. سود این کار در لایهٔ شبکه فرود آمد.

یک تراکنش استاندارد مونرو با دو ورودی و دو خروجی در سال ۲۰۲۶ تقریباً ۱٫۵ کیلوبایت وزن دارد و در اولویت عادی کسری از یک سنت آمریکا هزینه برمی‌دارد. Bulletproofs+ یکی از دلایلی است که این رقم حتی پس از پرش اندازهٔ رینگ به ۱۶ پایین ماند. صرفه‌جویی ۵ تا ۷ درصدیِ اثبات بازه را در میلیون‌ها تراکنشی که هر سال تأیید می‌شوند ضرب کنید، تا بلاک‌هایی محسوس‌تر لاغرتر، همگام‌سازی اولیهٔ سریع‌تر برای نودهای تازه، و رد پایی سبک‌تر برای هر کسی که Monero را روی سخت‌افزاری متوسط و از طریق Tor اجرا می‌کند، به دست آورید.

این کارایی مستقیماً به دسترس‌پذیری می‌رسد. کارمزد کمتر و تراکنش‌های کوچک‌تر، بالا آوردن یک نود را ارزان‌تر می‌کنند و همین، شبکه را غیرمتمرکز نگه می‌دارد. وقتی از طریق MoneroSwapper به XMR سوآپ می‌کنید و به کیف‌پول خودتان برداشت می‌کنید، اثبات سوار بر آن تراکنش همان شیء لاغر Bulletproofs+ است که هر کاربر دیگری در ۲۰۲۶ تولید می‌کند — و همین جایگزین‌پذیری را حفظ می‌کند، چون یک خروجی XMR از نظر رمزنگارانه از خروجی بعدی غیرقابل‌تشخیص است.

ارزش یادآوری دارد که اثبات‌های بازه تنها یک لایه از پشتهٔ حریم خصوصی مونرو هستند. نهادهای مالیاتی مانند سازمان امور مالیاتی و ناظران مالی مانند بانک مرکزی جریان‌های رمزارزی را زیر ذره‌بین می‌برند، اما یک اثبات بازه هیچ چیزی دربارهٔ فرستنده، گیرنده یا مبلغ فاش نمی‌کند. تنها وظیفهٔ آن راستگویی دربارهٔ عرضه است، نه ناشناسی — آن کار در جای دیگری از پروتکل انجام می‌شود.

پرسش‌های متداول

آیا Bulletproofs+ مونروی قدیمی مرا غیرقابل‌خرج کرد؟

نه. این تغییر یک ارتقای سطح اجماع بود که در ارتفاع بلاک مشخصی فعال شد. پس از فورک اوت ۲۰۲۲، کیف‌پول‌های به‌روزشده صرفاً شروع به ساختن اثبات‌های Bulletproofs+ برای تراکنش‌های تازه کردند. سکه‌هایی که در دوران Bulletproofs قدیمی دریافت شده‌اند کاملاً سالم خرج می‌شوند — اثبات هر بار که می‌فرستید از نو ساخته می‌شود، نه اینکه به‌طور دائم همراه موجودی شما ذخیره شده باشد.

آیا Bulletproofs+ از Bulletproofs خصوصی‌تر است؟

نه. هر دو مبالغ را دقیقاً به یک اندازه پنهان می‌کنند و همان بازهٔ [0, 2⁶⁴) را اثبات می‌کنند. Bulletproofs+ صرفاً یک بهبود کارایی است — اثبات‌های کوچک‌تر و تأیید اندکی سریع‌تر. حریم خصوصی واقعی Monero از RingCT، نشانی‌های مخفی (stealth addresses) و امضاهای رینگی CLSAG می‌آید، که اثبات بازه به هیچ‌کدامشان دست نمی‌زند.

برای استفاده از Bulletproofs+ باید کاری انجام دهم؟

فقط یک کیف‌پول به‌روز را اجرا کنید. نرم‌افزار رسمی Monero، نسخه‌های گرافیکی (GUI) و خط فرمان (CLI)، و کیف‌پول‌های شخص‌ثالث معتبر از زمان ارتقای ۲۰۲۲ به‌صورت پیش‌فرض اثبات‌های Bulletproofs+ می‌سازند. هیچ تنظیمی برای روشن و خاموش کردن وجود ندارد و هیچ مهاجرتی هم لازم نیست — همه‌چیز خودکار است.

چرا مونرو به‌جای این‌ها از zk-SNARK استفاده نمی‌کند؟

بیشتر سیستم‌های کارآمد zk-SNARK به یک مراسم راه‌اندازی مورد اعتماد نیاز دارند که پارامترهای محرمانه‌ای تولید می‌کند؛ اگر این پارامترها لو بروند، یک مهاجم می‌تواند اثبات جعل کند و عرضه را بی‌آنکه کسی متوجه شود تورمی کند. Bulletproofs و Bulletproofs+ به چنین مراسمی نیاز ندارند و این با فلسفهٔ بدون‌اعتماد (trustless) مونرو همخوان است. بهای این کار، اثبات‌هایی اندکی بزرگ‌تر و تأییدی است که با اندازهٔ گزاره مقیاس می‌گیرد.

بعد از Bulletproofs+ چه می‌آید؟

جهش بزرگ بعدی FCMP++ (اثبات عضویت کل‌زنجیره) است که می‌خواهد امضاهای رینگی را با اثباتی جایگزین کند که هر خرج را میان کل بلاک‌چین پنهان می‌کند، نه میان یک رینگ ۱۶ طعمه‌ای. این فناوری ماشین اثبات خودش را دارد و در سراسر ۲۰۲۵ تا ۲۰۲۶ در آزمایش فعال بوده و برای یک هارد فورک آینده برنامه‌ریزی شده است. اثبات‌های بازه مانند Bulletproofs+ به احتمال زیاد شغل خود را حفظ خواهند کرد، حتی وقتی FCMP++ سمت عضویتِ حریم خصوصی را زیرورو کند.

جمع‌بندی

Bulletproofs انقلاب بود — یک کاهش ۸۰ درصدی حجم که در سال ۲۰۱۸ مبالغ محرمانه را عملی کرد. Bulletproofs+ صیقل است — پالایشی ۵ تا ۷ درصدی در سال ۲۰۲۲ که برهان حاصل‌ضرب داخلی را با یک گونهٔ وزن‌دار جایگزین کرد، دانش‌صفر را درون اثبات تا کرد و در هر تراکنش بایت صرفه‌جویی کرد، بی‌آنکه ذره‌ای از حریم خصوصی شما را تغییر دهد. دانستن این تفاوت یعنی می‌توانید آن افسانهٔ بازاریابی را که اثبات تازه‌تر را «ناشناس‌تر» می‌خواند تشخیص دهید: ساده بگوییم، چنین نیست و لازم هم نیست باشد.

هر دو اثبات یک هدف مشترک دارند — تضمین اینکه هیچ‌کس XMR را جعل نمی‌کند، در حالی که مبالغ دربسته می‌مانند. همین درستکاری بی‌سروصدا بخشی از چیزی است که هر سکه را با سکهٔ دیگر قابل‌تعویض نگه می‌دارد. آماده‌اید این را به کار بگیرید؟ می‌توانید از طریق MoneroSwapper بدون حساب و بدون KYC مونرو را به‌صورت ناشناس بخرید، و هر خروجی‌ای که دریافت می‌کنید با همان اثبات لاغر و آبدیدهٔ Bulletproofs+ عرضه می‌شود که بقیهٔ شبکه به آن اعتماد دارند.