Bulletproofs+ против Bulletproofs в Monero: что на самом деле изменилось

13 августа 2022 года обновление сети Monero тихо заменило один криптографический компонент, который почти никто из пользователей в глаза не видит, но на который полагаются абсолютно все. Bulletproofs+ пришли на смену исходным доказательствам диапазона Bulletproofs, срезав ещё несколько байт с каждой транзакции и ускорив проверку для тысяч полных узлов, которые следят за порядком в блокчейне. Если вы хоть раз переводили XMR через сервис без KYC вроде MoneroSwapper, ваша транзакция несла внутри одно из таких доказательств в качестве криптографического багажа — математического свидетельства того, что вы не печатаете монеты из воздуха.

Названия звучат почти одинаково, а в примечаниях к релизам разницу обычно не объясняют. Так что же такое Bulletproofs+? Улучшение приватности? Прирост скорости? Совсем новая система? Короткий ответ: это улучшение эффективности, а не приватности. В этом гайде мы разберём, что именно делает каждое из доказательств, почему Monero внедрила их в октябре 2018 и в августе 2022 года соответственно, и насколько ощутима практическая разница между ними для обычной транзакции в 2026 году.

Зачем Monero вообще нужны доказательства диапазона

Monero скрывает суммы транзакций с помощью RingCT (Ring Confidential Transactions), запущенного в январе 2017 года. Вместо того чтобы записывать сумму открытым текстом, каждый выход хранит обязательство Педерсена вида C = xG + aH, где a — скрытая сумма, x — случайный ослепляющий множитель, а G и H — фиксированные генераторы на эллиптической кривой. Сеть может убедиться, что сумма входов равна сумме выходов, так и не узнав сами числа.

Но такая секретность открывает опасную лазейку. Если никто не видит суммы, что мешает злоумышленнику зафиксировать гигантское значение, которое «перевалит» за порядок группы кривой, — то есть фактически создать XMR из ничего? Вот здесь доказательства диапазона и отрабатывают свой хлеб.

• Защита от инфляции: доказательство диапазона подтверждает, что каждая скрытая сумма лежит внутри допустимого интервала [0, 2⁶⁴), не раскрывая саму цифру. Никаких отрицательных сумм, никакого переполнения целого числа, никаких фальшивых монет.
• Нулевое разглашение: доказательство не выдаёт ничего о реальном значении. Проверяющий узнаёт лишь «это число в диапазоне» — но никогда само число.
• Без доверенной настройки: в отличие от многих конструкций zk-SNARK, Bulletproofs и Bulletproofs+ не требуют секретной церемонии. Нет «токсичных отходов», которые позже можно было бы использовать для подделки доказательств.
• Агрегация: одно доказательство может покрыть сразу все выходы транзакции, поэтому его размер растёт лишь логарифмически, а не линейно с каждым новым выходом.

Каждый байт, потраченный на эти доказательства, остаётся в блокчейне навсегда и копируется на каждом узле по всему миру. Именно поэтому эффективность доказательств диапазона — не примечание мелким шрифтом: она напрямую формирует комиссии Monero, время синхронизации и долгосрочную нагрузку на хранилище, а всё это лежит в основе взаимозаменяемости монеты.

Bulletproofs: прорыв 2018 года

До Bulletproofs в Monero для построения доказательств диапазона использовались кольцевые подписи Borromean. Они работали, но были крайне прожорливы по месту: доказательство росло линейно с числом доказываемых бит, и одна транзакция с двумя выходами раздувалась примерно до 13 КБ. На приватном блокчейне, который и без того тащит на себе тяжёлые данные кольцевых подписей, это было неприемлемо.

Bulletproofs, предложенные Бенедиктом Бюнцем, Джонатаном Бутлом и соавторами в 2017 году, попали в основную сеть Monero с обновлением октября 2018 года. Результат был впечатляющим. Типичная транзакция уменьшилась примерно на 80% — с ~13 КБ до около 2,5 КБ, — а медианные комиссии рухнули более чем на 95%. Это до сих пор одна из крупнейших побед по эффективности за всю историю Monero.

Как Bulletproofs устроены изнутри

Движок внутри Bulletproofs — это аргумент скалярного произведения (inner-product argument, IPA). Доказывающий кодирует биты суммы в два вектора и должен убедить проверяющего, что их скалярное произведение равно конкретному значению. Вместо того чтобы пересылать векторы целиком, протокол проходит несколько раундов, каждый раз сокращая длину вектора вдвое. После log₂(n) раундов для передачи остаётся лишь горстка точек кривой.

Вся магия именно в этом логарифмическом масштабировании. Доказательство 64-битного диапазона занимает всего несколько сотен байт, а агрегация нескольких выходов добавляет лишь пару лишних элементов, а не целое новое доказательство. Чтобы сделать аргумент скалярного произведения доказательством с нулевым разглашением, «классические» Bulletproofs навешивают дополнительные ослепляющие члены, которые отправляются вместе с основным аргументом.

Пакетная проверка

Bulletproofs также позволяют узлам проверять множество доказательств вместе, одной пакетной операцией, что куда дешевле, чем проверять каждое по отдельности. Это колоссально важно, когда полный узел синхронизирует годы истории или валидирует только что добытый блок, набитый транзакциями из мемпула.

Bulletproofs+ против Bulletproofs: в чём реальные различия

Bulletproofs+ берут начало из статьи 2020 года за авторством Хивона Чуна, Кёхёна Хана, Чханъяна Чжу, Мёнсона Кима и Чжэ Хон Со. Их ключевое нововведение — замена аргумента скалярного произведения на взвешенный аргумент скалярного произведения (weighted inner-product, WIP). WIP вшивает ослепление для нулевого разглашения прямо внутрь самого аргумента, поэтому доказывающему больше не нужно пересылать отдельные маскирующие члены, которых требовали «классические» Bulletproofs.

Меньше передаваемых элементов — значит меньший размер доказательства и чуть более дешёвая проверка. В реализации Monero Bulletproofs+ урезали ту часть транзакции, что отведена под доказательство диапазона, примерно на 5–7% и умеренно ускорили проверку. Это инкрементальное улучшение — далеко не тот скачок на 80%, что был в 2018-м, но бесплатная экономия, которая накапливается на миллионах транзакций и в хранилище каждого узла.

Что принципиально важно — свойства приватности остались идентичными. Оба доказательства одинаково хорошо скрывают суммы; оба опираются на тот же 64-битный диапазон и ту же схему обязательств Педерсена. Любой, кто продаёт Bulletproofs+ как нечто «более приватное», ошибается. Приватность обеспечивают RingCT, кольцевые подписи и CLSAG — доказательство диапазона лишь гарантирует честность сумм.

Обновление августа 2022 года не ограничилось заменой доказательства диапазона. Вместе с ним приехали view tags (метки просмотра), ускорившие сканирование кошельком примерно на 40%, а размер кольца вырос с 11 до 16 ложных входов (decoys). Bulletproofs+ помогли компенсировать ту дополнительную «массу», что добавили большие кольца, сохранив транзакции компактными даже при выросшем множестве анонимности.

Как доказательство диапазона проходит через транзакцию

Полезно увидеть, где эти доказательства живут в жизненном цикле платежа XMR. Шаги ниже прослеживают путь одного выхода от создания до подтверждения.

1. Зафиксировать сумму. Кошелёк выбирает случайный ослепляющий множитель и строит обязательство Педерсена C = xG + aH для каждого выхода, скрывая значение в блокчейне.
2. Сгенерировать доказательство. Кошелёк собирает одно агрегированное доказательство диапазона Bulletproofs+, покрывающее все выходы, и доказывает, что каждая сумма лежит в [0, 2⁶⁴), не раскрывая её.
3. Разослать. Подписанная транзакция — данные кольцевой подписи, ключевой образ, обязательства и доказательство диапазона — расходится по сети через Dandelion++ и оседает в мемпуле.
4. Проверить. Каждый полный узел проверяет доказательство диапазона (нередко пакетом с другими), подтверждает, что входы сходятся с выходами, и валидирует кольцевые подписи перед ретрансляцией.
5. Подтвердить. Майнер включает транзакцию в блок; после десяти подтверждений средства считаются окончательно зачисленными и доступными для траты.

Если хотя бы одно доказательство диапазона не проходит проверку, отклоняется вся транзакция целиком — никакого «частичного» принятия не бывает. Именно это правило «всё или ничего» делает гарантию против инфляции герметичной.

Что разница означает на практике

Для рядового пользователя переход с Bulletproofs на Bulletproofs+ был невидимым. Вы обновили кошелёк — и ваши транзакции просто начали строить более новое доказательство. Ни одна монета не стала «непригодной к трате», адреса не изменились, и ничего в вашей приватности не сдвинулось. Выигрыш достался уровню сети.

Стандартная транзакция Monero с двумя входами и двумя выходами в 2026 году весит примерно 1,5 КБ и при обычном приоритете стоит долю цента в долларовом выражении. Bulletproofs+ — одна из причин, по которой эта цифра осталась низкой даже после того, как размер кольца подскочил до 16. Умножьте экономию в 5–7% на доказательстве диапазона на миллионы транзакций, подтверждаемых ежегодно, и вы получите ощутимо более стройные блоки, более быструю первичную синхронизацию для новых узлов и более лёгкий след для всех, кто гоняет Monero через Tor на скромном железе.

Эта эффективность напрямую кормит доступность. Меньшие комиссии и компактные транзакции делают запуск узла дешевле, а это удерживает сеть децентрализованной. Когда вы меняете средства на XMR через MoneroSwapper и выводите на свой кошелёк, доказательство, едущее внутри той транзакции, — это тот же самый стройный объект Bulletproofs+, который производит любой другой пользователь в 2026 году. Так сохраняется взаимозаменяемость: один выход XMR криптографически неотличим от другого.

Стоит помнить, что доказательства диапазона — лишь один слой стека приватности Monero. Налоговые органы вроде ФНС и регуляторы вроде ЦБ РФ пристально изучают криптопотоки, но доказательство диапазона не выдаёт ничего ни об отправителе, ни о получателе, ни о сумме. Его единственная работа — честность относительно эмиссии, а не анонимность; за анонимность отвечают другие части протокола.

Как проверить, что ваш кошелёк использует Bulletproofs+

Хорошая новость: специально делать ничего не нужно. Но если вы любите убедиться лично, достаточно нескольких ориентиров. После форка августа 2022 года любая транзакция, отправленная актуальной версией кошелька, по умолчанию строит доказательство Bulletproofs+ — это часть консенсуса, а не настройка на ваш выбор.

• Версия кошелька. Официальные сборки с getmonero.org, выпущенные после релиза v0.18 «Fluorine Fermi» (август 2022), формируют Bulletproofs+ автоматически. Если ваша версия старше — обновитесь, иначе сеть просто не примет вашу транзакцию.
• Тип транзакции. В выводе монитора или эксплорера новые транзакции помечаются как тип 6 (BP+). Это и есть Bulletproofs+ в действии.
• Нечего «мигрировать». Доказательство собирается заново при каждой отправке, поэтому старые монеты, полученные ещё в эпоху Bulletproofs, тратятся без проблем — переключатель искать не нужно.

FAQ

Сделали ли Bulletproofs+ мои старые монеты Monero непригодными к трате?

Нет. Изменение было обновлением на уровне консенсуса, активированным на определённой высоте блока. После форка августа 2022 года обновлённые кошельки просто начали строить доказательства Bulletproofs+ для новых транзакций. Монеты, полученные в эпоху старых Bulletproofs, тратятся совершенно нормально — доказательство генерируется заново при каждой отправке, а не хранится навсегда вместе с балансом.

Bulletproofs+ приватнее, чем Bulletproofs?

Нет. Оба скрывают суммы ровно в одинаковой степени и доказывают тот же диапазон [0, 2⁶⁴). Bulletproofs+ — это чисто улучшение эффективности: меньшие доказательства и чуть более быстрая проверка. Реальную приватность Monero обеспечивают RingCT, скрытые адреса (stealth addresses) и кольцевые подписи CLSAG, которых доказательство диапазона вообще не касается.

Нужно ли мне что-то делать, чтобы использовать Bulletproofs+?

Просто запустите актуальный кошелёк. Официальное ПО Monero — GUI и CLI — а также надёжные сторонние кошельки строят доказательства Bulletproofs+ по умолчанию ещё с обновления 2022 года. Никакой настройки переключать не нужно и никакой миграции выполнять не требуется — всё происходит автоматически.

Почему Monero не использует zk-SNARK?

Большинство эффективных систем zk-SNARK требуют церемонии доверенной настройки, которая порождает секретные параметры. Если они утекут, злоумышленник сможет подделывать доказательства и незаметно раздувать эмиссию. Bulletproofs и Bulletproofs+ не нуждаются в такой церемонии, что соответствует бездоверительной философии Monero. Плата за это — чуть большие доказательства и проверка, которая масштабируется с размером утверждения.

Что придёт на смену Bulletproofs+?

Следующий крупный скачок — это FCMP++ (Full-Chain Membership Proofs), который нацелен заменить кольцевые подписи доказательством, прячущим каждую трату среди всего блокчейна, а не среди кольца из 16 ложных входов. У него собственный доказательный аппарат, и он активно тестировался в 2025–2026 годах, с прицелом на будущий хардфорк. Доказательства диапазона вроде Bulletproofs+, скорее всего, сохранят свою роль, даже когда FCMP++ перекроит ту сторону приватности, что отвечает за принадлежность.

Итог

Bulletproofs были революцией — сокращение размера на 80%, сделавшее конфиденциальные суммы практичными в 2018 году. Bulletproofs+ — это шлифовка: улучшение на 5–7% в 2022-м, которое заменило аргумент скалярного произведения на взвешенный вариант, вшив нулевое разглашение прямо в доказательство и сэкономив байты на каждой транзакции, ни на йоту не изменив вашу приватность. Понимая разницу, вы легко распознаёте маркетинговый миф, называющий более новое доказательство «более анонимным»: это попросту не так, да и не должно быть так.

Оба доказательства преследуют одну цель — гарантировать, что никто не подделывает XMR, пока суммы остаются запечатанными. Эта тихая честность — часть того, что делает каждую монету взаимозаменяемой. Готовы применить знания на деле? Вы можете купить Monero анонимно через MoneroSwapper без аккаунта и без KYC, и каждый полученный вами выход будет нести то же самое стройное, проверенное в боях доказательство Bulletproofs+, которому доверяет вся остальная сеть.