Dandelion++ no Monero: privacidade de rede explicada
Privacidade de rede no Monero: o Dandelion++ explicado
Quem compra Monero costuma supor que o protocolo esconde tudo no instante em que a transação deixa a carteira. Na blockchain em si, isso é em grande parte verdade — o RingCT oculta os valores, a assinatura em anel disfarça qual saída está sendo gasta e o endereço furtivo quebra o vínculo com quem recebe. Mas existe uma camada mais silenciosa que nada tem a ver com o livro-razão: a rede ponto a ponto que carrega a sua transação do seu nó até um minerador. Quando você clica em "enviar", a transação aparece primeiro em um único endereço IP antes de se espalhar. Um observador de rede que detecta essa origem às vezes consegue amarrar uma transação on-chain perfeitamente privada a uma conexão de internet do mundo real.
É essa brecha que o Dandelion++ foi criado para fechar. Trata-se do protocolo de propagação que o Monero usa para embaralhar o caminho que uma transação percorre pela rede, de modo que o nó onde ela aparece quase nunca seja o nó que a criou. Quando você troca seus ativos por Monero em um serviço como o MoneroSwapper, suas moedas herdam essa proteção automaticamente — mas entender como ela funciona mostra onde estão os limites dela e o que você precisa acrescentar por cima. Este guia percorre o desenho de caule e flor (stem e fluff), os parâmetros que o Monero realmente usa, o modelo de ameaça realista e como blindar a sua configuração em 2026.
Por que a privacidade de rede é um problema à parte
Moedas de privacidade costumam ser discutidas pelo que termina gravado na cadeia. Esse enquadramento ignora uma categoria inteira de vazamento. A blockchain é um registro público, mas o ato de transmitir uma transação é um evento ao vivo, acontecendo em um lugar e um horário específicos — e esse metadado pode identificar tanto quanto um livro-razão transparente.
Três superfícies distintas entram em jogo sempre que você transaciona, e o Dandelion++ trata apenas da terceira:
- Conteúdo on-chain: o valor, quem envia e quem recebe. O Monero protege isso com RingCT, assinaturas em anel, endereços furtivos e a key image, que impede o gasto duplo sem revelar qual moeda se moveu.
- Vinculabilidade na cadeia: se duas transações podem ser amarradas uma à outra por dados reutilizados. A geração de subendereços e os endereços furtivos de uso único mantêm tudo desvinculado, e é isso que sustenta a fungibilidade do Monero.
- Metadados de rede: o endereço IP que anuncia uma transação primeiro, o momento exato do anúncio e o nó que a guarda no mempool antes de todos. Nenhuma das ferramentas criptográficas acima toca nisso — esse dado vive abaixo do protocolo, na camada de fofoca (gossip).
Um adversário que opera uma frota de nós escutadores bem conectados não precisa quebrar nenhuma criptografia para atacar a terceira superfície. Basta registrar de qual IP ouviu cada transação pela primeira vez. Numa rede ingênua, de transmissão por inundação, o primeiro nó a repassar uma transação é, com altíssima probabilidade, o que a criou. Essa única observação já derruba o anonimato de um pagamento privado impecável em todo o resto. A rede primitiva do Bitcoin se mostrou repetidamente vulnerável exatamente a esse estilo de desanonimização "do primeiro espião", e a pesquisa que originou o Dandelion nasceu diretamente dessas descobertas.
Como o Dandelion++ funciona de verdade
O Dandelion++ é um protocolo acadêmico apresentado em 2018 por Fanti e coautores, refinando a proposta original do Dandelion de 2017. O Monero entregou sua implementação na versão v0.15 "Carbon Chameleon", no fim de 2019, e desde então ela protege a propagação de transações na rede. A ideia central é dividir a propagação em duas fases de comportamento bem diferente: uma fase de roteamento privado e uma fase de inundação pública.
A fase caule (stem)
Quando o seu nó cria uma transação, ele não a grita para todos os pares. Em vez disso, ela entra na fase caule. A transação é encaminhada para um único par escolhido de forma pseudoaleatória. Esse par então toma uma decisão probabilística: com uma pequena probabilidade por salto (o Monero usa uma probabilidade de florescimento baixa, na ordem de dez por cento), ele transfere a transação para a fase pública. Caso contrário, encaminha a transação adiante para o seu próprio par de caule.
O resultado é que a transação viaja por uma linha imprevisível de nós — um "caule" — antes mesmo de se tornar pública. Quando ela finalmente aflora para a rede inteira, pode estar a muitos saltos de distância do autor original. Um observador que ouve a transação primeiro vê um nó de retransmissão inocente, não o autor, e não tem como percorrer a cadeia de volta com confiança.
A fase flor (fluff)
Assim que um nó decide fazer a transição, a transação entra na fase flor. Aqui ela se comporta como fofoca comum: o nó a transmite a todos os seus pares, que a transmitem a todos os deles, e ela inunda a rede até chegar aos mineradores e cair no mempool de todo mundo. A fase flor é rápida e confiável — o trabalho dela é a entrega, não o ocultamento. Todo o trabalho de esconder aconteceu lá atrás, no caule.
Épocas e o grafo quatro-regular
A melhoria que rendeu o "++" vem de como as rotas de caule são escolhidas. O Dandelion original roteava cada transação por uma linha simples, que um adversário persistente conseguia mapear aos poucos. O Dandelion++ usa, em vez disso, um grafo quatro-regular: cada nó conecta seu caule a um pequeno conjunto fixo de retransmissores de saída, e as seleções são re-randomizadas a cada época — uma janela na ordem de minutos. Como a topologia de roteamento se reembaralha o tempo todo e mistura os caules de muitos usuários, correlacionar transações sucessivas a uma única fonte fica muito mais difícil, mesmo para um adversário que controla uma fatia da rede.
O Dandelion++ não torna a desanonimização impossível — ele a torna probabilística e cara. Um adversário Sybil paciente e bem financiado ainda consegue degradá-lo, e é exatamente por isso que ele deve ser combinado com redes de anonimato, e não usado sozinho como única confiança.
O temporizador de embargo
Um atacante esperto pode tentar um ataque de "buraco negro": sentar em cima do caminho do caule, engolir uma transação e nunca deixá-la chegar à fase flor, na esperança de censurá-la ou de identificar a digital do remetente que acabará tentando reenviar. O Monero se defende disso com um temporizador de embargo. Quando um nó entrega uma transação ao caule, ele inicia uma contagem regressiva aleatória de dezenas de segundos. Se não observar essa transação entrando na fase pública (flor) antes de o tempo esgotar, ele assume que algo deu errado e transmite a transação por conta própria. Isso garante a vivacidade — o seu pagamento vai passar — mantendo o tempo com variação aleatória (jitter), de modo que o próprio mecanismo de reserva seja difícil de explorar.
Dandelion++ versus a pilha completa de privacidade de rede
O Dandelion++ é necessário, mas não suficiente. Ele esconde a origem dentro do grafo P2P da clearnet, mas o seu nó ainda está conversando com os pares pelo seu IP real. Um adversário no nível da rede, posicionado no seu provedor de internet, ou que opere uma fatia muito grande dos nós, ainda consegue coletar sinal. As configurações mais fortes combinam o Dandelion++ com uma rede de anonimato por baixo. Veja como as opções mais comuns se comparam:
| Configuração | O que ela esconde | Contrapartidas |
|---|---|---|
| Clearnet, sem Dandelion++ (legado) | Nada na camada de rede; primeira retransmissão = provável origem | Mais rápido, mas trivialmente desanonimizável por nós escutadores |
| Clearnet + Dandelion++ (padrão hoje) | Oculta o nó de origem dentro do grafo P2P | Seu IP ainda é visível aos pares; vulnerável a grandes frotas Sybil |
| Dandelion++ + Tor (proxy de transação) | O nó de origem e o seu IP real diante dos pares | Maior latência; cuidados com guarda/saída; fácil de habilitar |
| Dandelion++ + I2P | Origem e IP, com roteamento garlic de entrada e de saída | Rede menor, mais configuração; forte para nós sempre ligados |
A conclusão essencial: o Dandelion++ eleva o custo dos ataques mais baratos de graça e por padrão. O Tor ou o I2P então fecham a porta para o adversário que enxerga a sua conexão crua. Eles resolvem problemas que se sobrepõem, mas são distintos, e usuários sérios os usam juntos.
Como blindar a sua privacidade de rede no Monero
Se você roda o próprio nó — e a auto-custódia é cada vez mais a única opção durável, depois das remoções de XMR em corretoras na União Europeia e em outros lugares — alguns passos concretos colocam você perto do topo da curva realista de privacidade. O Dandelion++ já está ligado; estes passos acrescentam as camadas que ele não consegue fornecer sozinho.
- Roteie as transações de saída pelo Tor. Inicie o seu daemon com um proxy de transação (a opção no estilo
--tx-proxy tor), para que as transmissões saiam pelo Tor. Os seus pares nunca verão o seu IP real nas transações que você origina. - Adicione um endereço de entrada anônimo. Configure
--anonymous-inboundcom um serviço oculto Tor ou um destino I2P, para que o seu nó também receba conexões sem expor a localização, o que melhora a conectividade do seu caule. - Rode o seu próprio nó em vez de um remoto. Um nó remoto vê toda transação que você envia e o seu IP. Rodar o próprio daemon — ou parear a sua carteira com um nó que você controla — elimina por completo esse intermediário de confiança.
- Mantenha o seu nó online e atualizado. Um nó que fica conectado participa de mais épocas e se mistura a mais caules. Rode sempre uma versão que inclua as últimas correções de propagação e consenso, antes das atualizações de rede programadas.
- Não vaze metadados em outro lugar. A privacidade de rede vai por água abaixo se você reutiliza o mesmo endereço publicamente ou amarra uma troca a uma identidade com KYC. Gere subendereços novos e adquira moedas de forma privada já de início.
Um modelo de ameaça do mundo real
Pense em como isso se desenrola contra o tipo de adversário que realmente existe. Empresas de análise de blockchain, como a Chainalysis, vendem capacidades de monitoramento de rede a autoridades, e um vazamento bastante divulgado descreveu um "módulo" voltado ao Monero que dependia fortemente de rodar nós maliciosos e colher dados de tempo e de IP — não de quebrar o RingCT. Essa é precisamente a superfície de ataque que o Dandelion++ mira.
Imagine um usuário que troca Bitcoin por Monero pelo MoneroSwapper e depois envia o XMR para uma carteira de poupança de longo prazo. On-chain, o destino está blindado pelo endereço furtivo e o valor pelo RingCT. Sem privacidade de rede, um analista rodando nós escutadores ainda poderia anotar "o primeiro IP a anunciar esta transação foi 203.0.113.x às 14h02 UTC" e cruzar isso com outros registros. Com o Dandelion++, a transação aflora a vários saltos anônimos de distância, em um nó que o usuário nunca controlou; com o Tor por baixo, nem esse ponto de afloramento pode ser amarrado de volta à conexão do usuário. O analista fica com uma retransmissão, um horário e nada para ancorá-los a uma pessoa.
É também por isso que a privacidade de rede vai continuar relevante mesmo conforme a criptografia on-chain do Monero avança. A futura atualização FCMP++ (Full-Chain Membership Proofs) substitui as assinaturas em anel de tamanho fixo por uma prova extraída de todo o conjunto de saídas, e trabalhos de endereçamento de nova geração, como Seraphis e Jamtis, estão no roteiro. Tudo isso fortalece o livro-razão — nada disso muda o fato de que uma transação precisa ser anunciada a partir de algum lugar. O Dandelion++ segue sendo o protocolo que guarda esse anúncio.
O que muda para quem usa Monero no Brasil
O cenário regulatório brasileiro torna essa discussão menos abstrata do que parece. A Lei 14.478/2022 — o chamado Marco Legal das Criptoativos — colocou as prestadoras de serviços de ativos virtuais sob a supervisão do Banco Central do Brasil, e a autarquia abriu consultas públicas para detalhar quem precisa de autorização para operar. Na prática, isso empurra cada vez mais o fluxo de compra e venda para dentro de ambientes com identificação obrigatória.
Some-se a isso a Instrução Normativa RFB nº 1.888/2019, que obriga corretoras a reportarem operações à Receita Federal e exige que a própria pessoa física declare movimentações feitas fora das corretoras nacionais acima do limite mensal. O ponto aqui não é evitar tributação — ganhos de capital com criptoativos são tributáveis e devem entrar na sua declaração. O ponto é que cada reporte associa um valor a um CPF, e essa associação só protege a sua privacidade financeira se a camada de rede não vazar, em paralelo, de qual conexão a transação saiu.
Vale lembrar que a CVM trata como valores mobiliários apenas certos tokens com características de investimento coletivo; o Monero, usado como meio de pagamento e reserva, não se enquadra nessa categoria. Ainda assim, a tendência global de regras como a CARF e o DAC8 — voltadas à troca automática de informações entre países — reforça por que o anonimato de rede importa: ele não isenta ninguém de obrigações fiscais, mas impede que terceiros montem um perfil completo da sua atividade a partir de metadados que você nunca consentiu em revelar. Para o usuário brasileiro que faz auto-custódia, rodar o próprio nó com Dandelion++ e Tor é o que transforma a privacidade on-chain em privacidade de ponta a ponta.
Perguntas frequentes
O Dandelion++ substitui o Tor no Monero?
Não. O Dandelion++ esconde qual nó dentro da rede ponto a ponto originou uma transação, mas o seu nó ainda se conecta aos pares pelo IP real. O Tor ou o I2P escondem esse IP. Eles são complementares: o Dandelion++ derrota de graça a desanonimização barata da primeira retransmissão, enquanto uma rede de anonimato protege contra um observador que enxerga a sua conexão crua.
O Dandelion++ vem ligado por padrão no Monero?
Sim. Desde a versão v0.15 "Carbon Chameleon", lançada no fim de 2019, todo nó padrão do Monero propaga transações usando o Dandelion++ automaticamente. Você não precisa configurar nada para se beneficiar do roteamento de caule e flor — ele faz parte do repasse normal de transações.
Um adversário poderoso ainda consegue desanonimizar o tráfego do Dandelion++?
Em parte, nas condições certas. O Dandelion++ oferece proteção probabilística, não absoluta. Um adversário que controla uma grande fatia dos nós da rede (um ataque Sybil) pode degradar suas garantias ao observar muitos caules ao mesmo tempo. Esse é o motivo central pelo qual a comunidade Monero recomenda combinar o Tor ou o I2P por cima, em vez de confiar no Dandelion++ isoladamente.
Qual é a diferença entre as fases caule e flor?
A fase caule é o estágio de roteamento privado: a transação é passada em silêncio por uma linha de pares únicos, cada um decidindo, com uma pequena probabilidade, se a torna pública. A fase flor é o estágio comum de inundação, em que um nó transmite a transação a todos os seus pares, para que ela alcance a rede inteira e os mineradores. O anonimato vem do caule; a entrega vem da flor.
Usar um nó remoto enfraquece o Dandelion++?
Pode enfraquecer. Um nó remoto ao qual você se conecta vê as transações que você envia e o IP de onde as envia, então ele consegue contornar a proteção que o Dandelion++ oferece aos demais observadores. Rodar o seu próprio nó, ou um nó de confiança que você acessa pelo Tor, mantém essa informação de origem longe das mãos de terceiros.
Conclusão
A reputação do Monero se apoia na criptografia escrita no seu livro-razão, mas a privacidade real é tão forte quanto a sua camada mais fraca — e, por anos, essa camada fraca foi a rede. O Dandelion++ fecha a brecha ao garantir que o nó que anuncia a sua transação quase nunca seja o nó que a criou, e o temporizador de embargo impede que essa proteção seja usada como arma para te censurar. Combinado com o Tor ou o I2P e o seu próprio nó, ele coloca você bem além do alcance dos ataques baratos e escaláveis que os adversários de fato usam. Se você quer moedas que já chegam dentro dessa proteção, você pode comprar Monero de forma anônima pelo MoneroSwapper e manter a sua privacidade intacta, da troca até a sua carteira.
🌍 Leia em