MoneroSwapper MoneroSwapper

Endereços Stealth do Monero: Como Funcionam

MoneroSwapper · · · 18 min read · 5 views

Endereços Stealth do Monero: Como Funcionam

Se você colar seu endereço de carteira Monero em um explorador de blocos, não verá suas transações recebidas. Isso não é um bug nem falha de indexação — o explorador realmente não consegue vincular o endereço às saídas que pertencem a você. Por trás desse comportamento contraintuitivo está uma das peças mais elegantes de criptografia aplicada em qualquer criptomoeda: o endereço stealth. Em 2026, com firmas de vigilância de cadeia como Chainalysis e TRM Labs admitindo publicamente que ainda não conseguem rastrear de forma consistente quem recebe Monero, os endereços stealth seguem sendo o cavalo de batalha silencioso que protege todo usuário de XMR, do brasileiro varejista que usa o MoneroSwapper para comprar suas primeiras frações de moeda até a jornalista que recebe doações de leitores anônimos. Este artigo destrincha exatamente o que são endereços stealth, como são derivados matematicamente, por que cada transação gera uma saída única e descartável, e quais ataques eles protegem — e quais não.

Por que privacidade do destinatário é o problema mais difícil das criptomoedas

O Bitcoin resolveu o problema do consenso descentralizado, mas deixou a privacidade do destinatário praticamente intocada. Quando a Alice envia 0,1 BTC para o Bob, o mundo inteiro vê o endereço do Bob ganhar 0,1 BTC. Se o Bob reutilizar esse endereço uma vez sequer, todos os pagamentos passados e futuros ficam conectados. Heurísticas como propriedade comum de entradas e clusterização de endereços transformaram o Bitcoin em um dos sistemas financeiros mais vigiáveis já construídos — um artigo de 2025 do Instituto IMDEA Networks mostrou que mais de 71% das carteiras mainstream de Bitcoin podem ser desanonimizadas apenas com dados públicos on-chain, sem nenhum vazamento de KYC.

O Monero adota a postura oposta: toda saída precisa ser não vinculável ao endereço público que a recebeu. Três pilares sustentam essa garantia:

  • Endereços stealth escondem o destinatário — nenhum observador externo consegue dizer qual saída pertence a qual endereço público.
  • Assinaturas em anel e CLSAG escondem o remetente — o verdadeiro gastador fica enterrado entre 15 chamarizes.
  • RingCT e Bulletproofs+ escondem o valor — só remetente e destinatário sabem quanto foi movimentado.

Os endereços stealth são a perna do tripé que cuida do lado do recebedor. Sem eles, as assinaturas em anel sozinhas ainda vazariam o destino, e toda a promessa de privacidade ruiria. Eles também são a razão pela qual seu endereço público de Monero pode ser estampado com segurança em um site, impresso em um cartão de visitas ou compartilhado com milhares de doadores em uma campanha de financiamento: não importa quantos pagamentos cheguem, cada um gera uma saída fresca e matematicamente desconectada na blockchain.

A matemática: como um endereço stealth é gerado

Um endereço público do Monero não é um hash como no Bitcoin. Ele é a concatenação de duas chaves públicas de curva elíptica sobre a curva Ed25519: uma chave pública de gasto (B maiúsculo) e uma chave pública de visualização (A maiúsculo). As chaves privadas correspondentes são b minúsculo e a minúsculo. Quando alguém quer enviar XMR para você, a carteira do remetente não coloca seu endereço dentro da transação — fazer isso aniquilaria todo o ponto da coisa. Em vez disso, ela executa o cálculo a seguir.

Passo 1: o remetente gera uma chave de transação aleatória

A carteira que envia sorteia um escalar aleatório novo, chamado de r, para cada transação. A partir dele, deriva a chave pública da transação R = r·G, onde G é o ponto base da Ed25519. R é publicado em texto claro no campo "extra" da transação, mas, sozinho, não revela absolutamente nada sobre quem está recebendo.

Passo 2: o remetente calcula um segredo compartilhado

Usando sua chave pública de visualização A retirada do seu endereço, o remetente calcula o segredo compartilhado r·A. Isso é um clássico Diffie-Hellman sobre a curva. Pela simetria da operação, você — e somente você — pode recomputar o mesmo valor como a·R, usando sua chave privada de visualização. Ninguém mais na rede consegue, porque ninguém mais possui a.

Passo 3: o remetente deriva uma chave de saída descartável

A chave pública descartável P que efetivamente aparece registrada na blockchain é calculada como:

P = Hs(r·A || i)·G + B

Aqui, Hs é uma função de hash escalar baseada em Keccak, i é o índice da saída dentro da transação (para que transações com múltiplas saídas continuem produzindo chaves únicas) e B é sua chave pública de gasto. A saída P é o que fica gravado na cadeia como destinatário. Ela parece uma chave de 32 bytes perfeitamente ordinária, indistinguível de qualquer outra saída de qualquer outra transação. O mais importante: P é um ponto novo na curva, nunca visto antes — mesmo que o mesmo remetente pague o mesmo destinatário mil vezes seguidas, cada uma das mil saídas será diferente.

Passo 4: o destinatário escaneia e detecta a propriedade

Sua carteira baixa cada bloco e, para cada saída, calcula Hs(a·R || i)·G + B e confere se o resultado bate com o P registrado em cadeia. Se bater, a saída é sua. É por isso que a sincronização da carteira Monero pode parecer lenta em celulares: a carteira precisa testar toda saída recente contra sua chave de visualização. É também por isso que a chave de visualização sozinha basta para detectar transações recebidas sem conceder qualquer poder de gasto — ela consegue calcular o segredo compartilhado, mas não consegue derivar a chave privada descartável necessária para movimentar os fundos.

Para de fato gastar a saída, você combina sua chave privada de gasto b com o mesmo hash, produzindo a chave privada descartável x = Hs(a·R || i) + b, que corresponde matematicamente a P. Sem b, nenhuma quantidade de dados da chave de visualização permite que alguém movimente os recursos. Essa separação limpa é o que permite contadores, auditores ou softwares fiscais (incluindo aqueles usados para preparar a declaração junto à Receita Federal) terem acesso somente leitura a uma carteira Monero sem qualquer risco de gasto.

Stealth, subendereços e endereços integrados: qual é qual?

O Monero entrega na verdade três construções relacionadas do lado do destinatário. Elas são frequentemente confundidas, até por usuários experientes, então vale colocá-las lado a lado.

ConstruçãoO que éQuando usarCompromisso de privacidade
Endereço stealth (saída descartável) Gerado automaticamente por transação; não pode ser reutilizado Toda transação — invisível ao usuário Nenhum — esta é a linha de base
Subendereço Filho determinístico do seu endereço principal; permite que uma carteira tenha vários rótulos de recebimento independentes Cobrança por cliente, rastreio de doações, depósitos em corretora Cada subendereço é não vinculável aos demais e ao endereço principal do ponto de vista de observadores externos
Endereço integrado Endereço principal mais um payment ID criptografado de 64 bits Legado — a maioria dos serviços substituiu por subendereços entre 2018 e 2019 O payment ID é criptografado on-chain, mas ainda adiciona metadados; desencorajado em integrações novas
Chave de visualização Chave privada que escaneia mas não gasta Auditorias, declarações fiscais, carteiras watch-only Entrega a quem a possui visibilidade total dos recebimentos — compartilhe com cautela

O ponto crucial: a geração do endereço stealth acontece no nível do protocolo, automaticamente, para cada saída, independentemente de o destino ter sido um endereço principal, um subendereço ou um endereço integrado. Você nunca digita um endereço stealth na mão porque você nunca o vê — a carteira o deriva a partir de qualquer endereço que o remetente colou.

Passo a passo: um pagamento real do remetente ao destinatário

Suponha que você esteja contratando um serviço de hospedagem que respeita privacidade, oferecido por um fornecedor que aceita XMR. Eis o que acontece exatamente entre o instante em que você clica em "enviar" e o instante em que o lojista vê o saldo entrar.

  1. Você cola o endereço principal ou subendereço do lojista (a string longa começando com 4 ou 8) no diálogo de envio da sua carteira e digita o valor.
  2. Sua carteira sorteia uma chave privada de transação aleatória r e calcula R = r·G. R é a chave pública da transação que acompanhará o envio.
  3. Para cada saída destinada ao recebedor, a carteira deriva o endereço stealth descartável P = Hs(r·A || i)·G + B usando as chaves públicas de visualização e gasto do destinatário. Uma saída de troco de volta para você é gerada da mesma forma, usando suas próprias chaves.
  4. A carteira seleciona 15 saídas chamariz da mesma classe de denominação em blocos anteriores e monta uma assinatura em anel CLSAG, de modo que qualquer um dos 16 candidatos poderia ser o verdadeiro gastador.
  5. Os valores são criptografados com o segredo compartilhado Diffie-Hellman, e as provas de intervalo Bulletproofs+ comprovam que todos os valores são positivos sem revelá-los.
  6. A transação é propagada via Dandelion++ para obscurecer seu IP de origem perante observadores de rede.
  7. Depois de minerada, a carteira do lojista varre o bloco, calcula o segredo compartilhado a·R para cada R presente em cada transação, testa se algum dos P derivados bate com saídas daquela transação, e credita o saldo silenciosamente.

O ciclo inteiro consome cerca de 20 segundos de processamento mais o tempo médio de 2 minutos por bloco. De fora, a transação parece idêntica a qualquer outra transação de Monero da cadeia: mesma classe de tamanho, mesmo tamanho de anel, mesma estrutura de prova. Não há como um terceiro — corretora, provedor de internet, analista de blockchain — olhar a cadeia e determinar que o lojista recebeu fundos, muito menos quanto recebeu.

O lojista pode publicar o mesmo endereço Monero em cada página do site dele por dez anos sem nunca comprometer sua privacidade — todo pagamento cai em uma saída descartável fresca e desvinculada que a blockchain não associa ao endereço público.

O que os endereços stealth não protegem

Privacidade criptográfica é necessária, mas não é suficiente. Endereços stealth protegem a vinculabilidade on-chain, mas não conseguem proteger contra erros operacionais nem contra vazamentos fora da cadeia. Conhecer os limites faz parte de usar a ferramenta de forma correta.

  • KYC na entrada: Se você compra XMR em uma corretora centralizada que executou verificação de identidade, a corretora conhece o R da sua transação de saque. Ela não consegue ver para onde você mandou as moedas depois, mas tem um ponto de partida forte. Usar um serviço de troca no-KYC como o MoneroSwapper evita plantar essa raiz desde o início.
  • Reutilização de endereço fora da cadeia: Endereços stealth impedem a ligação on-chain, mas se você publicar o mesmo endereço principal no X, no GitHub e em um post do Reddit, qualquer pessoa pode correlacionar suas identidades do mundo real, mesmo sem conseguir correlacionar suas transações.
  • Vazamentos da chave de visualização: Se você compartilhar uma chave de visualização para auditoria e a máquina daquele auditor for posteriormente comprometida, toda transação recebida — passada e futura — naquela carteira fica visível ao atacante. Use uma carteira dedicada para qualquer auditoria com chave de visualização.
  • Inferência por horário e valor: Uma entidade de vigilância que controle simultaneamente uma corretora e um lojista não consegue ligar a saída on-chain, mas pode correlacionar o horário e o valor aproximado de um saque com um pagamento subsequente. É por isso que o Monero recomenda esperar pelo menos 10 confirmações (cerca de 20 minutos) antes de tratar os fundos como definitivos e que valores de pagamento não devem virar impressões digitais únicas (evite mandar 0,12345678 XMR se a fatura do lojista era de R$ 1.234,5678).
  • Metadados de IP: Endereços stealth vivem na camada criptográfica. A privacidade de rede é fornecida pelo Dandelion++ e melhora bastante quando você roda seu próprio nó atrás de Tor ou I2P. Uma carteira que se conecta por padrão a um nó remoto operado por terceiro vaza a ligação entre seu IP e sua carteira para o operador daquele nó.

Exemplo prático: receber doações anonimamente

Considere uma jornalista independente que mantém um blog de vazamentos publicados no fim de 2025. Ela quer aceitar doações de leitores sem expor a identidade dos doadores nem a dela própria. O fluxo de trabalho dela:

Ela publica um único endereço principal de Monero no rodapé do site, em sua bio assinada com PGP e ao fim de cada artigo. Em seis meses, recebe 412 doações que vão de 0,001 a 4,3 XMR. Na blockchain, nenhum desses pagamentos é vinculável ao endereço publicado. Nenhum é vinculável a outro. Exploradores de blocos como o xmrchain.net exibem 412 transações para 412 saídas descartáveis distintas espalhadas por milhares de blocos, sem que nenhuma clusterização seja possível.

Quando ela quer converter parte do montante em reais para cobrir o aluguel e o supermercado, não manda as moedas para uma corretora KYC brasileira — isso criaria um rastro de papel ligando sua atividade de carteira à sua identidade junto à Receita Federal. No lugar disso, usa uma troca no-KYC para converter XMR em uma stablecoin respeitadora de privacidade ou em BTC, que então gasta por um canal não custodial. Do começo ao fim, nenhum intermediário centralizado mantém registro da relação entre seu endereço publicado e sua identidade no mundo real. Esse é o modelo de ameaça para o qual os endereços stealth foram desenhados, e é o mesmo modelo de ameaça que o fluxo de swap sem cadastro do MoneroSwapper foi pensado para estender, garantindo que os pontos de entrada e saída do Monero também não virem vetores de desanonimização.

O futuro: FCMP++ e o que muda para os endereços stealth

A derivação de endereço stealth faz parte do Monero desde o paper original do CryptoNote, em 2014, e não mudou de forma fundamental em mais de uma década. O que está mudando em 2026 e nos anos seguintes é a camada de privacidade do remetente. As Provas de Pertencimento à Cadeia Inteira (FCMP++), com ativação esperada em um hard fork ao longo de 2026, substituirão a atual assinatura em anel de 16 membros por uma prova de conhecimento zero de que a saída gasta é uma de todas as saídas elegíveis já criadas na cadeia — efetivamente um conjunto de anonimato de dezenas de milhões em vez de 16.

Para os endereços stealth, a matemática continua a mesma. Uma saída descartável continua sendo derivada como P = Hs(r·A || i)·G + B. O destinatário continua escaneando ao calcular a·R. O que muda é que, quando o destinatário for gastar essa saída mais tarde, a prova de que ele é o dono não precisará mais apontar para 15 chamarizes específicos. Combinada com o Seraphis e com o formato de endereço Jamtis no roadmap mais longo, a parte stealth ficará ainda mais flexível: o Jamtis introduz address tags que permitem a carteiras leves escanear de forma mais eficiente sem enfraquecer a garantia de não vinculabilidade. O padrão de a pesquisa matemática virar privacidade implantada na prática é uma das razões pelas quais o Monero segue sendo a implementação de referência em privacidade do destinatário em 2026.

Perguntas frequentes

Alguém consegue ver quanto XMR meu endereço já recebeu?

Não. Diferente do Bitcoin, em que o saldo de qualquer endereço é publicamente visível, um endereço principal de Monero simplesmente não tem saldo on-chain. Os saldos são calculados pela carteira do dono ao varrer saídas que combinam com a derivação stealth. Um terceiro que tenha apenas seu endereço público não consegue determinar quantas transações você recebeu, quanto recebeu nem quando.

É seguro reutilizar o mesmo endereço Monero?

Sim, tecnicamente. Cada pagamento para o mesmo endereço continua produzindo um endereço stealth on-chain único, então as transações não ficam vinculáveis. Dito isso, por questões de contabilidade e privacidade operacional, é boa prática gerar um subendereço por contraparte para que, se você compartilhar uma chave de visualização ou se uma contraparte for comprometida, a exposição se limite àquele subendereço.

Qual a diferença entre chave de visualização e endereço stealth?

A chave de visualização é uma chave privada que pertence à sua carteira e permite ao portador detectar pagamentos recebidos refazendo as derivações de endereço stealth. O endereço stealth é a saída descartável on-chain que a chave de visualização ajuda você a localizar. A chave de visualização os lê; ela não os gera.

Os endereços stealth tornam o Monero resistente a computação quântica?

Não. Os endereços stealth dependem do problema do logaritmo discreto sobre a curva Ed25519, que um computador quântico suficientemente grande poderia quebrar com o algoritmo de Shor. O laboratório de pesquisa do Monero tem várias propostas pós-quânticas no roadmap de longo prazo, incluindo substituições baseadas em reticulados, mas nenhuma está implantada em 2026. Em modelos de ameaça que incluam adversários quânticos críveis, os endereços stealth não ajudam.

Se eu mandar XMR para mim mesmo, minha própria carteira gera um endereço stealth?

Sim. Toda saída — incluindo o troco que volta para o remetente — é um endereço stealth derivado das suas próprias chaves de visualização e gasto. É por isso que suas saídas de troco também são desvinculáveis do seu endereço principal e por isso que uma carteira nova que só fez um autossend ainda parece, na blockchain, ter dois destinatários independentes.

Uma ordem judicial ou intimação pode forçar um endereço stealth a revelar seu dono?

Nenhuma parte que possua apenas dados on-chain consegue mapear um endereço stealth de volta a um endereço público sem a chave de visualização. Uma intimação poderia compelir o dono de uma carteira (se conhecido) a entregar sua chave de visualização, mas não tem como compelir a rede ou qualquer terceiro a executar a derivação reversa, porque matematicamente tal derivação não existe.

Conclusão

Os endereços stealth são a metade silenciosa da privacidade do Monero. Assinaturas em anel e RingCT recebem a maior parte da imprensa porque protegem o remetente e o valor, mas, sem chaves de saída descartáveis por transação, essas defesas ficariam ocas — o destino continuaria vazando, e a análise de cadeia ainda agruparia destinatários. O que o CryptoNote acertou em 2014, e o que o Monero carregou adiante ao longo de dez anos de upgrades, é o reconhecimento de que privacidade do destinatário é estrutural, não opcional: ela precisa estar embutida em toda transação, automaticamente, sem exigir que o usuário ative nada. Essa escolha estrutural é por que publicar um endereço de doação XMR é seguro de um jeito que publicar um endereço de doação BTC simplesmente não é.

Se você está vindo do Bitcoin e quer colocar essa propriedade para trabalhar, o passo inicial mais limpo é adquirir algum XMR sem criar um ponto de entrada vinculado à sua identidade. O MoneroSwapper permite trocar BTC, ETH, LTC, USDT e mais de uma dúzia de outros ativos por Monero sem cadastro, sem KYC e sem armazenar logs que mais tarde derrotem justamente as garantias de privacidade descritas aqui. Quando suas moedas pousam na sua própria carteira, os endereços stealth fazem o resto do trabalho automaticamente — todo pagamento que você um dia receber será não vinculável a qualquer outro, e a única pessoa capaz de provar a propriedade de qualquer um deles é você.

🌍 Leia em

English Português Español Русский Deutsch 中文 Italiano Français 한국어 日本語 Tiếng Việt Indonesia ไทย العربية हिन्दी فارسی Melayu עברית Filipino

Compartilhe este artigo

Artigos Relacionados

Como Trocar XMR por BTC pela Cake Wallet: Passo a Passo

May 30, 2026

XMR para BTC OTC: Guia de Swap de Grande Volume 2026

May 30, 2026

Riscos de Privacidade XMR para BTC: O Que Você Perde em 2026

May 30, 2026

Como Trocar XMR por BTC Lightning Network em 2026

May 30, 2026

A Atomic Wallet vaza a privacidade do seu Monero?

May 30, 2026

Alternativas ao Atomic Wallet para Monero em 2026

May 30, 2026

Exchange de Monero Anônima

Sem KYC • Sem Cadastro • Troca Instantânea

Trocar Agora