Bulletproofs+ vs. Bulletproofs bei Monero: Guide 2026
Bulletproofs+ vs. Bulletproofs bei Monero: Was sich wirklich geändert hat
Am 13. August 2022 tauschte ein Monero-Netzwerk-Upgrade fast unbemerkt ein Stück Kryptografie aus, das kaum ein Nutzer je zu Gesicht bekommt – auf das sich aber jeder verlässt. Bulletproofs+ löste die ursprünglichen Bulletproofs-Bereichsbeweise ab, sparte noch ein paar Bytes pro Transaktion ein und verkürzte die Verifizierungszeit für die Tausenden Full Nodes, die über die Kette wachen. Wenn du jemals XMR über einen No-KYC-Dienst wie MoneroSwapper bewegt hast, trug deine Transaktion einen dieser Beweise als kryptografisches Gepäck mit sich – einen mathematischen Nachweis, dass du nicht heimlich Coins aus dem Nichts erschaffst.
Die beiden Namen klingen fast identisch, und die Release Notes erklären den Unterschied selten. Ist Bulletproofs+ ein Privacy-Upgrade? Ein Geschwindigkeits-Upgrade? Ein völlig neues System? Die kurze Antwort: Es ist ein Effizienz-Upgrade, kein Privacy-Upgrade. Dieser Guide zerlegt, was jeder Beweis tatsächlich leistet, warum Monero sie im Oktober 2018 beziehungsweise im August 2022 eingeführt hat und wie groß der praktische Unterschied für eine ganz normale Transaktion im Jahr 2026 wirklich ist.
Warum Monero überhaupt Bereichsbeweise braucht
Monero verbirgt Transaktionsbeträge mit RingCT (Ring Confidential Transactions), eingeführt im Januar 2017. Statt den Betrag im Klartext zu notieren, speichert jeder Output ein Pedersen-Commitment der Form C = xG + aH, wobei a der versteckte Betrag, x ein zufälliger Blinding-Faktor und G und H feste Generatoren auf der elliptischen Kurve sind. Das Netzwerk kann prüfen, dass Inputs gleich den Outputs sind, ohne die beteiligten Zahlen je zu erfahren.
Diese Geheimhaltung schafft eine gefährliche Lücke. Wenn niemand den Betrag sehen kann, was hindert einen böswilligen Sender daran, sich auf einen gigantischen Wert festzulegen, der über die Gruppenordnung der Kurve hinausläuft – und so faktisch XMR aus dem Nichts erzeugt? Genau hier verdienen sich die Bereichsbeweise ihr Geld.
- Schutz vor Inflation: Ein Bereichsbeweis belegt, dass jeder versteckte Betrag im gültigen Intervall [0, 264) liegt, ohne die Zahl preiszugeben. Keine negativen Beträge, kein Integer-Overflow, keine gefälschten Coins.
- Zero-Knowledge: Der Beweis verrät nichts über den tatsächlichen Wert. Ein Prüfer erfährt nur „diese Zahl liegt im Bereich" – niemals die Zahl selbst.
- Kein Trusted Setup: Anders als viele zk-SNARK-Konstruktionen brauchen Bulletproofs und Bulletproofs+ keine geheime Zeremonie. Es gibt keinen toxischen Abfall, mit dem sich später Beweise fälschen ließen.
- Aggregation: Ein einziger Beweis kann alle Outputs einer Transaktion auf einmal abdecken, sodass die Größe nur logarithmisch wächst statt linear mit jedem neuen Output.
Jedes Byte, das diese Beweise verbrauchen, lebt für immer auf der Blockchain – repliziert über jeden Node der Welt. Deshalb ist die Effizienz der Bereichsbeweise keine Fußnote: Sie prägt direkt Moneros Gebühren, Sync-Zeiten und die langfristige Speicherlast – alles Faktoren, die seine Fungibilität untermauern.
Bulletproofs: Der Durchbruch von 2018
Vor Bulletproofs nutzte Monero Borromean-Ring-Signaturen für seine Bereichsbeweise. Sie funktionierten, waren aber brutal beim Speicherplatz: Der Beweis wuchs linear mit der Anzahl der zu beweisenden Bits, und eine einzige Transaktion mit zwei Outputs blähte sich auf rund 13 KB auf. Auf einer Privacy-Kette, die ohnehin schon schwere Ring-Signatur-Daten mitschleppt, war das auf Dauer untragbar.
Bulletproofs, 2017 von Benedikt Bünz, Jonathan Bootle und weiteren Co-Autoren vorgeschlagen, landeten mit dem Netzwerk-Upgrade vom Oktober 2018 auf Moneros Mainnet. Das Ergebnis war drastisch. Eine typische Transaktion schrumpfte um rund 80 Prozent, von circa 13 KB auf etwa 2,5 KB, und die Median-Gebühren brachen um mehr als 95 Prozent ein. Es bleibt einer der größten einzelnen Effizienzgewinne in Moneros Geschichte.
Wie Bulletproofs unter der Haube funktionieren
Der Motor in Bulletproofs ist das Inner-Product-Argument (IPA). Der Beweisende codiert die Bits des Betrags in zwei Vektoren und muss den Prüfer überzeugen, dass deren inneres Produkt einem bestimmten Wert entspricht. Statt die vollen Vektoren zu senden, durchläuft das Protokoll mehrere Runden und halbiert die Vektorlänge bei jeder davon. Nach log2(n) Runden bleibt nur eine Handvoll Kurvenpunkte zum Übertragen übrig.
Diese logarithmische Skalierung ist die eigentliche Magie. Einen 64-Bit-Bereich zu beweisen, braucht einen Beweis von nur wenigen Hundert Bytes, und das Aggregieren mehrerer Outputs fügt bloß ein paar zusätzliche Elemente hinzu statt eines komplett neuen Beweises. Damit das Inner-Product-Argument Zero-Knowledge wird, kleben die normalen Bulletproofs zusätzliche Blinding-Terme an, die neben dem Kernargument mitgeschickt werden.
Batch-Verifizierung
Bulletproofs erlauben Nodes außerdem, viele Beweise gemeinsam in einer einzigen gebündelten Operation zu prüfen – das ist weit günstiger, als jeden einzeln zu kontrollieren. Das zählt enorm, wenn ein Full Node Jahre an Historie synchronisiert oder einen frisch geschürften Block validiert, der vollgestopft ist mit Transaktionen aus dem Mempool.
Bulletproofs+ vs. Bulletproofs: Die echten Unterschiede
Bulletproofs+ stammt aus einem Paper von 2020 von Heewon Chung, Kyoohyung Han, Chanyang Ju, Myungsun Kim und Jae Hong Seo. Die Kerninnovation besteht darin, das Inner-Product-Argument durch ein gewichtetes Inner-Product-Argument (WIP) zu ersetzen. Das WIP faltet das Zero-Knowledge-Blinding direkt ins Argument selbst hinein, sodass der Beweisende die separaten Maskierungsterme, die normale Bulletproofs verlangten, nicht mehr übertragen muss.
Weniger übertragene Elemente bedeuten einen kleineren Beweis und eine etwas günstigere Verifizierung. In Moneros Einsatz schnitt Bulletproofs+ den Bereichsbeweis-Anteil einer Transaktion um rund 5 bis 7 Prozent und beschleunigte die Verifizierung moderat. Es ist eine schrittweise Verfeinerung – meilenweit entfernt vom 80-Prozent-Sprung von 2018, aber kostenlose Einsparungen, die sich über Millionen von Transaktionen und den Speicher jedes Nodes summieren.
Entscheidend: Die Privacy-Eigenschaften sind identisch. Beide Beweise verbergen Beträge gleich gut; beide stützen sich auf denselben 64-Bit-Bereich und dasselbe Pedersen-Commitment-Schema. Wer Bulletproofs+ als „privater" vermarktet, irrt sich. Die Privatsphäre kommt von RingCT, Ring-Signaturen und CLSAG – der Bereichsbeweis garantiert ausschließlich ehrliche Beträge.
| Eigenschaft | Bulletproofs (2018) | Bulletproofs+ (2022) |
|---|---|---|
| Monero-Aktivierung | Oktober 2018 (v8) | August 2022 (v15) |
| Kernargument | Inner-Product-Argument | Gewichtetes Inner-Product-Argument |
| Zero-Knowledge-Blinding | Separate Zusatzterme gesendet | Ins Argument hineingefaltet |
| Beweisgröße vs. Vorgänger | ~80 % kleiner als Borromean | ~5–7 % kleiner als Bulletproofs |
| Verifizierungstempo | Schnell, bündelbar | Etwas schneller, bündelbar |
| Trusted Setup | Keines | Keines |
| Bewiesener Bereich | [0, 264) | [0, 264) |
| Privacy-Wirkung | Verbirgt Beträge | Identisch – reine Effizienz |
Das Upgrade vom August 2022 tauschte mehr als nur den Bereichsbeweis aus. Es brachte auch View Tags, die das Wallet-Scanning um rund 40 Prozent beschleunigten, und hob die Ringgröße von 11 auf 16 Lockvögel an. Bulletproofs+ half, das Zusatzgewicht dieser größeren Ringe auszugleichen, und hielt Transaktionen schlank, obwohl der Anonymitätssatz wuchs.
Wie ein Bereichsbeweis durch eine Transaktion wandert
Es hilft, zu sehen, wo diese Beweise im Lebenszyklus einer XMR-Zahlung sitzen. Die folgenden Schritte verfolgen einen einzelnen Output von der Erstellung bis zur Bestätigung.
- Betrag festlegen (Commit). Deine Wallet wählt einen zufälligen Blinding-Faktor und baut für jeden Output das Pedersen-Commitment C = xG + aH, das den Wert auf der Kette verbirgt.
- Beweis erzeugen. Die Wallet konstruiert einen einzigen aggregierten Bulletproofs+-Bereichsbeweis über alle Outputs und belegt, dass jeder Betrag in [0, 264) liegt, ohne ihn offenzulegen.
- Verbreiten (Broadcast). Die signierte Transaktion – Ring-Signatur-Daten, Key Image, Commitments und der Bereichsbeweis – verbreitet sich über Dandelion++ durchs Netzwerk und landet im Mempool.
- Verifizieren. Jeder Full Node prüft den Bereichsbeweis (oft gebündelt mit anderen), bestätigt, dass Inputs und Outputs ausgeglichen sind, und validiert die Ring-Signaturen, bevor er weiterleitet.
- Bestätigen. Ein Miner nimmt die Transaktion in einen Block auf; nach zehn Bestätigungen gelten die Gelder als abgewickelt und ausgabefähig.
Scheitert ein einziger Bereichsbeweis bei der Verifizierung, wird die gesamte Transaktion abgelehnt – es gibt keine „teilweise" Annahme. Genau diese Alles-oder-nichts-Regel macht die Inflationsgarantie wasserdicht.
Was der Unterschied in der Praxis bedeutet
Für einen normalen Nutzer war der Wechsel von Bulletproofs zu Bulletproofs+ unsichtbar. Du hast deine Wallet aktualisiert, und deine Transaktionen begannen schlicht, den neueren Beweis zu bauen. Keine Coins wurden unausgebbar, keine Adressen änderten sich, und an deiner Privacy-Lage verschob sich nichts. Der Vorteil landete auf Netzwerkebene.
Eine standardmäßige Monero-Transaktion mit zwei Inputs und zwei Outputs wiegt 2026 rund 1,5 KB und kostet bei normaler Priorität einen Bruchteil eines Cents. Bulletproofs+ ist ein Grund, warum dieser Wert niedrig blieb, selbst nachdem die Ringgröße auf 16 gesprungen war. Multiplizierst du die 5- bis 7-prozentige Bereichsbeweis-Einsparung über die Millionen Transaktionen, die jedes Jahr bestätigt werden, bekommst du messbar schlankere Blöcke, eine schnellere Erst-Synchronisation für neue Nodes und einen leichteren Fußabdruck für alle, die Monero über Tor auf bescheidener Hardware laufen lassen.
Diese Effizienz speist direkt die Zugänglichkeit. Niedrigere Gebühren und kleinere Transaktionen machen es günstiger, einen Node hochzuziehen, was das Netzwerk dezentral hält. Wenn du über MoneroSwapper in XMR tauschst und auf deine eigene Wallet abhebst, ist der Beweis in dieser Transaktion dasselbe schlanke Bulletproofs+-Objekt, das jeder andere Nutzer im Jahr 2026 produziert – das bewahrt die Fungibilität, weil ein XMR-Output kryptografisch nicht vom nächsten zu unterscheiden ist.
Es ist erwähnenswert, dass Bereichsbeweise nur eine Schicht von Moneros Privacy-Stack sind. Steuerbehörden wie das Bundeszentralamt für Steuern und Regulierer wie die BaFin nehmen Krypto-Flüsse unter die Lupe, doch ein Bereichsbeweis verrät nichts über Sender, Empfänger oder Betrag. Seine einzige Aufgabe ist Ehrlichkeit über das Angebot, nicht Anonymität – diese Arbeit erledigt das Protokoll an anderer Stelle.
Kurzer Steuer-Hinweis für Deutschland
Auch wenn die Kryptografie deine Beträge auf der Kette verbirgt, entbindet dich das in Deutschland nicht von der Steuerpflicht. Nach § 23 EStG sind Gewinne aus dem Verkauf von Kryptowährungen steuerfrei, wenn zwischen Kauf und Verkauf mehr als ein Jahr liegt – egal ob du Bitcoin oder Monero hältst. Verkaufst du innerhalb der Jahresfrist, zählt der Gewinn als privates Veräußerungsgeschäft, mit einer Freigrenze von 1.000 Euro pro Jahr (seit 2024). Das Bundeszentralamt für Steuern und dein zuständiges Finanzamt interessiert dabei nur die Gewinnhöhe, nicht die kryptografische Mechanik dahinter. Bulletproofs+ ändert daran nichts: Der Beweis garantiert die Integrität des Angebots, nicht deine steuerliche Behandlung.
FAQ
Hat Bulletproofs+ mein altes Monero unausgebbar gemacht?
Nein. Die Änderung war ein Upgrade auf Consensus-Ebene, aktiviert bei einer bestimmten Blockhöhe. Nach dem Fork vom August 2022 begannen aktualisierte Wallets schlicht, Bulletproofs+-Beweise für neue Transaktionen zu konstruieren. Coins, die du in der alten Bulletproofs-Ära empfangen hast, gibst du völlig problemlos aus – der Beweis wird bei jedem Senden frisch erzeugt, nicht dauerhaft mit deinem Guthaben gespeichert.
Ist Bulletproofs+ privater als Bulletproofs?
Nein. Beide verbergen Beträge in exakt gleichem Maße und beweisen denselben [0, 264)-Bereich. Bulletproofs+ ist rein eine Effizienzverbesserung – kleinere Beweise und etwas schnellere Verifizierung. Moneros tatsächliche Privatsphäre kommt von RingCT, Stealth-Adressen und CLSAG-Ring-Signaturen, von denen der Bereichsbeweis keine berührt.
Muss ich etwas tun, um Bulletproofs+ zu nutzen?
Nur eine aktuelle Wallet laufen lassen. Die offizielle Monero-Software – GUI und CLI – sowie seriöse Drittanbieter-Wallets bauen seit dem Upgrade von 2022 standardmäßig Bulletproofs+-Beweise. Es gibt keinen Schalter zum Umlegen und keine Migration durchzuführen – es passiert automatisch.
Warum nutzt Monero nicht stattdessen zk-SNARKs?
Die meisten effizienten zk-SNARK-Systeme brauchen eine Trusted-Setup-Zeremonie, die geheime Parameter erzeugt. Würden diese durchsickern, könnte ein Angreifer Beweise fälschen und das Angebot unentdeckt aufblähen. Bulletproofs und Bulletproofs+ brauchen keine solche Zeremonie und passen damit zu Moneros vertrauensfreier Philosophie. Der Kompromiss sind etwas größere Beweise und eine Verifizierung, die mit der Größe der Aussage skaliert.
Was kommt nach Bulletproofs+?
Der nächste große Sprung ist FCMP++ (Full-Chain Membership Proofs). Es zielt darauf ab, Ring-Signaturen durch einen Beweis zu ersetzen, der jede Ausgabe innerhalb der gesamten Blockchain verbirgt statt in einem Ring aus 16 Lockvögeln. Es nutzt eine eigene Beweismaschinerie und befand sich über 2025–2026 im aktiven Testbetrieb, vorgesehen für einen künftigen Hard Fork. Bereichsbeweise wie Bulletproofs+ werden ihren Job wohl behalten, selbst wenn FCMP++ die Membership-Seite der Privatsphäre umkrempelt.
Das Fazit
Bulletproofs war die Revolution – ein 80-prozentiger Größenschnitt, der vertrauliche Beträge 2018 praxistauglich machte. Bulletproofs+ ist der Feinschliff – eine 5- bis 7-prozentige Verfeinerung von 2022, die das Inner-Product-Argument gegen eine gewichtete Variante tauschte, Zero-Knowledge in den Beweis faltete und bei jeder Transaktion Bytes sparte, ohne irgendetwas an deiner Privatsphäre zu verändern. Wer den Unterschied kennt, erkennt den Marketing-Mythos, der den neueren Beweis „anonymer" nennt: Das ist er schlicht nicht – und das muss er auch nicht sein.
Beide Beweise teilen dasselbe Ziel – zu garantieren, dass niemand XMR fälscht, während die Beträge versiegelt bleiben. Diese stille Integrität ist Teil dessen, was jeden Coin austauschbar hält. Bereit, das in die Tat umzusetzen? Du kannst über MoneroSwapper Monero anonym kaufen – ohne Konto und ohne KYC – und jeder Output, den du empfängst, wird mit demselben schlanken, kampferprobten Bulletproofs+-Beweis ausgeliefert, dem der Rest des Netzwerks vertraut.
🌍 Lesen in