Como Funcionam as Assinaturas em Anel do Monero
Como Funcionam as Assinaturas em Anel do Monero
Toda vez que uma transação de Bitcoin é confirmada, o endereço de quem envia, o de quem recebe e o valor exato ficam gravados num livro-razão público que qualquer pessoa pode ler para sempre. O Monero nasceu justamente para quebrar esse modelo, e a assinatura em anel é a peça que carrega o peso da privacidade do lado de quem paga. Pelas regras de rede vigentes em 2025, toda transação Monero esconde o remetente verdadeiro entre 16 possíveis gastadores — um tamanho de anel fixo, obrigatório para todos os usuários desde o hard fork de agosto de 2022. Essa uniformidade não é um detalhe técnico: é o ponto central de todo o desenho. Quando você adquire XMR por um serviço sem registros como a MoneroSwapper, as moedas herdam essa proteção de forma automática, sem nada para você ativar manualmente.
Este guia explica o que é, de fato, uma assinatura em anel, como o Monero monta uma a cada gasto, por que a key image impede o gasto duplo sem te identificar, e como a futura atualização FCMP++ pretende ampliar o conjunto de anonimato de 16 para a blockchain inteira. Não pressupomos nenhum conhecimento prévio de criptografia — basta disposição para acompanhar como as peças se encaixam.
Por que a privacidade do remetente é o problema difícil
Esconder o valor de uma transação é relativamente simples com a matemática moderna. Esconder quem está pagando para quem é muito mais difícil, porque uma blockchain precisa permitir que todo mundo verifique que as moedas gastas são reais e ainda não foram gastas — e tudo isso sem um árbitro de confiança no meio. O Monero resolve esse problema com três camadas independentes que trabalham juntas:
- Endereços furtivos (stealth addresses) escondem quem recebe. Cada pagamento vai para um endereço único e descartável, derivado na própria cadeia, de modo que o endereço público de quem recebe nunca aparece no livro-razão.
- RingCT esconde o valor. As transações confidenciais embrulham a quantia num compromisso criptográfico, comprovado como válido por provas de intervalo em vez de um número legível.
- Assinaturas em anel escondem quem envia. É a camada que torna ambíguo qual saída do passado está realmente sendo gasta.
Tire qualquer uma das três camadas e as outras duas vazam. Se o remetente fosse visível, conhecer o endereço furtivo do destinatário já bastaria para reconstruir todo o grafo de pagamentos. Por isso o Monero trata as três como obrigatórias, e não como recursos opcionais — o resultado é a fungibilidade, a propriedade de que todo XMR é intercambiável com qualquer outro XMR, porque nenhum carrega um histórico rastreável.
O que é, de verdade, uma assinatura em anel
O conceito é anterior ao Monero. Uma assinatura em anel, formalizada pela primeira vez por Rivest, Shamir e Tauman em 2001, permite que um membro de um grupo assine uma mensagem de modo que qualquer verificador confirme que "alguém deste grupo assinou", sem descobrir qual dos membros foi. Não há líder de grupo, não há cerimônia de configuração e não há forma de remover a ambiguidade depois — quem assina forma "espontaneamente" um grupo improvisado a partir de chaves públicas que já existem.
O Monero adapta essa ideia para o gasto. Quando você gasta uma saída (um pedaço de XMR que recebeu antes), sua carteira não aponta direto para ela. Em vez disso, ela monta um anel: a sua saída real mais 15 chamarizes puxados de saídas antigas de outras pessoas na blockchain. A assinatura prova que uma daquelas 16 saídas é genuinamente sua para gastar, mas um observador não consegue dizer qual.
Os chamarizes e como são escolhidos
Os 15 chamarizes não são aleatórios. Se fossem sorteados de maneira uniforme por todo o histórico da cadeia, a saída real — quase sempre uma recente — se destacaria estatisticamente. A carteira do Monero, em vez disso, sorteia os chamarizes a partir de uma distribuição gama ajustada para imitar o comportamento real de gasto, favorecendo saídas criadas recentemente mais ou menos na mesma taxa em que as pessoas de fato as gastam. Pesquisadores já submeteram esse algoritmo de seleção a inúmeros testes de estresse, e o Monero Research Lab o refinou várias vezes para fechar brechas baseadas em horário.
Como toda carteira usa o mesmo algoritmo e o mesmo tamanho de anel de 16, a sua transação fica idêntica em estrutura à de todo mundo. A uniformidade é, ela mesma, um recurso de privacidade: um ponto fora da curva é fácil de rastrear, mas um indivíduo dentro de uma multidão perfeitamente homogênea, não.
A key image: barrando gasto duplo sem revelar quem gasta
Aqui está a parte engenhosa. Se o verificador não consegue dizer qual saída você está gastando, como a rede impede que você gaste a mesma saída duas vezes? A resposta é a key image — uma etiqueta criptográfica única, derivada de forma determinística da chave privada de uso único da sua saída.
Cada saída só pode produzir uma key image válida, e essa imagem não revela nada sobre qual membro do anel a gerou. Quando sua transação é transmitida, todo nó registra a key image. Se a mesma key image voltar a aparecer, a rede rejeita a segunda transação como gasto duplo. Assim o sistema obtém a garantia de integridade de um livro-razão UTXO ao mesmo tempo em que preserva a ambiguidade do remetente — a key image é vinculável a si mesma, mas não à sua identidade.
CLSAG: o esquema de assinatura que o Monero usa hoje
O algoritmo específico que o Monero roda é o CLSAG — Concise Linkable Spontaneous Anonymous Group signatures, ou assinaturas concisas, vinculáveis, espontâneas e de grupo anônimo. Ele substituiu a construção mais antiga, a MLSAG, no hard fork de outubro de 2020. A atualização não foi cosmética: o CLSAG cortou o tamanho da assinatura em cerca de 25% e reduziu o tempo de verificação em torno de 10% a 20%, o que significa transações menores, taxas mais baixas e uma carga mais leve para cada nó que valida a cadeia.
"Vinculável" se refere ao comportamento da key image descrito acima; "espontâneo" e "grupo anônimo" capturam o anel improvisado e sem líder. Combinado com o RingCT para os valores e com o Bulletproofs+ para provas de intervalo compactas (ativado no mesmo fork de agosto de 2022 que fixou o anel em 16), o CLSAG é o que torna uma transação Monero moderna ao mesmo tempo privada e pequena.
Montando uma assinatura em anel, passo a passo
Ajuda enxergar a sequência que sua carteira percorre quando você toca em "enviar". A criptografia é elaborada, mas o fluxo de trabalho é direto:
- Selecionar a saída real. Sua carteira identifica uma saída que você controla e cuja chave de gasto você possui, grande o suficiente para cobrir o pagamento mais a taxa.
- Reunir 15 chamarizes. Usando o amostrador de distribuição gama, a carteira escolhe outras 15 saídas da blockchain para ficar ao lado da sua dentro do anel.
- Calcular a key image. Derivada da chave privada da saída real, essa etiqueta vai permitir que a rede detecte qualquer gasto duplo futuro da mesma saída.
- Construir a assinatura CLSAG. A carteira monta uma única assinatura sobre todo o anel, válida apenas porque você detém a chave de um dos membros — sem marcar qual.
- Anexar os compromissos RingCT e as provas de intervalo. O Bulletproofs+ comprova que os valores ocultos são não negativos e fecham a conta corretamente, tudo isso sem revelar as quantias.
- Transmitir via Dandelion++. A transação se propaga com um padrão de retransmissão que preserva a privacidade e obscurece qual nó a originou primeiro, dificultando a desanonimização em nível de IP na camada do mempool.
A assinatura em anel não criptografa sua transação — ela torna sua transação indistinguível de 15 alternativas plausíveis. A privacidade aqui vem da ambiguidade, e não de esconder os dados.
Assinaturas em anel comparadas a outras abordagens de privacidade
O Monero não é o único projeto enfrentando a privacidade na cadeia, mas sua abordagem tem trade-offs bem distintos frente às principais alternativas. A tabela abaixo resume como as assinaturas em anel se posicionam.
| Abordagem | Pontos fortes | Limitações |
|---|---|---|
| Assinaturas em anel do Monero (CLSAG + RingCT) | Privado por padrão em toda transação; sem configuração de confiança; maduro e testado em batalha desde 2017 | Conjunto de anonimato limitado ao tamanho do anel (16); transações maiores que as de cadeias transparentes |
| zk-SNARKs (ex.: pools blindadas do Zcash) | Conjunto de anonimato bem grande quando blindado; provas pequenas | A privacidade é opcional, então a maioria das transações segue transparente; alguns desenhos exigiram configuração de confiança |
| CoinJoin / mixing (sobre o Bitcoin) | Funciona sobre uma cadeia transparente existente; não exige mudança de protocolo | Opcional e coordenado; empresas de análise de cadeia agrupam e "desmisturam" participantes ativamente |
| Livros-razão transparentes (Bitcoin, Ethereum) | Totalmente auditável; fácil de verificar | Sem privacidade de remetente, destinatário ou valor; grafo de pagamentos público e permanente |
A diferença que define tudo é a palavra padrão. Com CoinJoin ou pools blindadas, a privacidade é algo que o usuário precisa escolher ativamente, e a minoria que escolhe se destaca. No Monero, não existe modo transparente para o qual optar — todo gasto usa uma assinatura em anel, então a multidão que busca privacidade é a base de usuários inteira. É isso que sustenta a fungibilidade.
A fraqueza honesta é o tamanho do conjunto de anonimato. Dezesseis membros é drasticamente melhor que zero, mas é finito. Um adversário com recursos suficientes, capaz de descartar chamarizes a partir de informação externa, estreita o cerco. É exatamente essa limitação que a próxima atualização de protocolo foi desenhada para apagar.
Privacidade, fisco e o cenário brasileiro
Vale um parêntese sobre o contexto regulatório de quem está no Brasil, porque é onde a maioria dos vazamentos de desanonimização acontece — não na criptografia, mas nas bordas. A Instrução Normativa 1.888 da Receita Federal obriga corretoras a reportar movimentações de criptoativos, e pessoas físicas que operam fora de exchange acima de R$ 30.000 por mês também precisam declarar. Some a isso as regras de KYC exigidas pelo Banco Central do Brasil e pela CVM, e fica claro que o ponto frágil não é a assinatura em anel: é o cadastro vinculando seu CPF a um endereço de saque.
Na prática, isso significa que toda a proteção descrita neste guia pode ser anulada por um único registro de KYC mal guardado. Uma assinatura em anel esconde perfeitamente qual das 16 saídas é a sua, mas não faz nada contra uma corretora que entregou seu endereço de retirada ao fisco. Por isso a forma como você adquire XMR importa tanto quanto a criptografia que protege o gasto — adquirir sem cadastro fecha justamente o canal lateral que a matemática não cobre.
O que vem por aí: FCMP++ e um conjunto de anonimato do tamanho da cadeia
A mudança mais significativa chegando à privacidade do remetente no Monero é a FCMP++ — Full-Chain Membership Proofs, ou provas de pertencimento à cadeia inteira. Em vez de provar "minha saída é uma destas 16", quem gasta prova "minha saída é uma de todas as saídas que já existiram na cadeia". Com bem mais de 100 milhões de saídas registradas até hoje, isso transforma um conjunto de anonimato de 16 num conjunto de anonimato do tamanho da blockchain inteira.
A FCMP++ usa uma estrutura criptográfica diferente — uma construção de Curve Trees que permite a quem prova demonstrar pertencimento a um conjunto enorme com uma prova compacta e eficiente de verificar. O detalhe crucial é que, assim como as ferramentas atuais do Monero, ela dispensa qualquer configuração de confiança, que historicamente foi o ponto sensível dos desenhos baseados em SNARK.
Ao longo de 2025, a FCMP++ avançou por revisão de código e auditorias criptográficas independentes financiadas pela comunidade, e está prevista para chegar junto com a reformulação mais ampla do protocolo de transações, a Seraphis, e o esquema de endereçamento Jamtis. Juntas, essas mudanças pretendem aposentar de vez o anel limitado. Até o hard fork relevante ser ativado na mainnet, o anel de 16 membros descrito neste guia continua sendo exatamente como as transações ao vivo funcionam — então nada muda hoje em relação a adquirir ou guardar XMR.
Para ter uma noção prática de escala: um conjunto de anonimato que cobre a cadeia inteira faz com que as heurísticas de seleção de chamarizes, as distribuições gama e o velho debate sobre o tamanho "certo" do anel virem todos discussão irrelevante. A pergunta "qual das 16 é a real?" é substituída por "qual das mais de cem milhões é a real?" — uma pergunta sem resposta útil para qualquer analista.
Perguntas frequentes
Uma assinatura em anel do Monero pode ser rastreada até o remetente real?
Não a partir da assinatura em si. A assinatura prova que um dos 16 membros do anel é o gastador verdadeiro sem marcar qual, e a key image não pode ser ligada à sua identidade. Tentativas de desanonimização geralmente dependem de metadados externos — vazamentos de IP, registros de KYC de corretora ou heurísticas fracas de chamarizes de épocas antigas — e não de quebrar a criptografia. Usar um caminho de aquisição sem KYC e um nó próprio bem mantido fecha a maioria desses canais laterais.
Qual é o tamanho atual do anel no Monero?
Dezesseis. Toda transação inclui sua saída real mais 15 chamarizes, e esse tamanho é fixo e obrigatório para todos os usuários desde o hard fork de agosto de 2022. Um tamanho de anel uniforme é, por si só, uma medida de privacidade, porque anéis de tamanho variável permitiriam identificar transações pela impressão digital da sua estrutura.
Qual a diferença entre uma assinatura em anel e o RingCT?
Elas protegem coisas diferentes. A assinatura em anel esconde quem está gastando, enquanto o RingCT (Ring Confidential Transactions) esconde quanto está sendo gasto. As duas operam juntas em toda transação, ao lado dos endereços furtivos que escondem o destinatário. As três camadas são necessárias para a privacidade completa.
Por que eu não posso simplesmente gastar uma saída do Monero direto, sem chamarizes?
Em termos de protocolo, tecnicamente até daria, mas fazer isso revelaria publicamente exatamente qual saída você está gastando e a ligaria à sua transação anterior, destruindo a privacidade sua e de qualquer pessoa cuja saída tivesse usado a sua como chamariz antes. Por isso o Monero impõe o anel no nível do consenso — não há como enviar uma transação Monero "transparente".
A FCMP++ vai deixar meu XMR atual mais privado automaticamente?
Sim, assim que for ativada. Como a privacidade no Monero é uma propriedade do protocolo, e não de cada moeda individual, uma futura atualização para provas de pertencimento à cadeia inteira estenderia o conjunto de anonimato maior aos gastos feitos depois do fork, sem nenhuma ação exigida de quem guarda XMR. As moedas que você tem hoje não estão "marcadas" — elas simplesmente são gastas sob as regras vigentes no momento da transação.
Conclusão
As assinaturas em anel são a razão pela qual quem envia Monero consegue provar que tem o direito de gastar sem revelar qual saída está gastando — uma única assinatura CLSAG sobre um anel de 16, ancorada por uma key image que bloqueia gastos duplos sem identificar ninguém. Combinadas com endereços furtivos e RingCT, elas tornam a privacidade o padrão, em vez de um recurso pelo qual você opta, e é esse padrão que dá ao XMR sua fungibilidade. Com a FCMP++ no horizonte, o conjunto de anonimato está prestes a crescer de um anel fixo para a cadeia inteira.
Entender o mecanismo é o primeiro passo; o segundo é adquirir XMR sem abrir mão da privacidade sobre a qual você acabou de aprender. A MoneroSwapper permite que você compre Monero de forma anônima, sem conta e sem registros, para que suas moedas cheguem já protegidas por todas as camadas descritas aqui — no instante em que pousam na sua carteira, o anel se fecha ao redor delas.
🌍 Leia em