כתובות Stealth של Monero: כיצד הן פועלות

אם תדביקו את כתובת ארנק ה-Monero שלכם בסייר בלוקים כלשהו, לא תראו אף עסקה נכנסת — לא אחת. זה אינו באג, אינדקס חסר או תקלה בשרת. הסייר באמת ובתמים אינו מסוגל לקשר בין הכתובת הציבורית שלכם לבין הפלטים (outputs) ששייכים לכם בפועל על הבלוקצ'יין. מאחורי ההתנהגות הלא-אינטואיטיבית הזאת מסתתר אחד מהפיסות האלגנטיות ביותר של קריפטוגרפיה יישומית בעולם המטבעות הקריפטוגרפיים: כתובת ה-Stealth. בשנת 2026, כאשר חברות ניתוח בלוקצ'יין כדוגמת Chainalysis ו-TRM Labs מודות בגלוי שעדיין אין באפשרותן לעקוב באופן עקבי אחר מקבלי תשלום ב-Monero, כתובות ה-Stealth נותרות סוס העבודה השקט שמגן על כל משתמש XMR — מהקונה הפרטי שמשתמש ב-MoneroSwapper, ועד לעיתונאי שמקבל תרומות מקוראים. במאמר הזה נפרק בדיוק מהן כתובות Stealth, כיצד הן נגזרות מתמטית, מדוע כל עסקה מייצרת פלט חד-פעמי ייחודי, ומפני מה הן כן ומפני מה הן לא מגנות.

מדוע פרטיות מקבל היא הבעיה הקשה ביותר בקריפטו

ביטקוין פתר את בעיית הקונצנזוס המבוזר, אבל הוא הותיר את פרטיות המקבל פתורה כמעט בכלל. כאשר עליזה שולחת לבני 0.1 ביטקוין, כל העולם רואה שהכתובת של בני קיבלה 0.1 ביטקוין. אם בני יעשה אי פעם שימוש חוזר באותה כתובת, כל תשלום עבר ועתידי נקשר אליה. היוריסטיקות כדוגמת common-input-ownership ואשכול כתובות הפכו את הביטקוין לאחת המערכות הפיננסיות הנתונות ביותר למעקב שאי פעם נבנו — מחקר שהתפרסם בשנת 2025 ע"י מוסד IMDEA Networks הראה שיותר מ-71% מארנקי הביטקוין הפופולריים ניתנים לדהאנונימיזציה דרך נתונים פומביים על הבלוקצ'יין בלבד, ללא שום דליפת KYC.

Monero נוקטת בעמדה הפוכה לחלוטין: כל פלט חייב להיות בלתי-ניתן לקישור לכתובת הציבורית שקיבלה אותו. שלושה עמודי תווך אוכפים את העיקרון הזה:

• כתובות Stealth מסתירות את המקבל — אף משקיף חיצוני אינו יכול לדעת איזה פלט שייך לאיזו כתובת ציבורית.
• חתימות טבעת ו-CLSAG מסתירות את השולח — המוציא האמיתי קבור בין 15 מסיחים אחרים.
• RingCT ו-Bulletproofs+ מסתירים את הסכום — רק השולח והמקבל יודעים כמה עבר.

כתובות Stealth הן הרגל של המקבל בחצובה הזאת. בלעדיהן, חתימות הטבעת לבדן עדיין היו מדליפות את היעד, וההבטחה לפרטיות הייתה קורסת לחלוטין. הן גם הסיבה לכך שהכתובת הציבורית של Monero שלכם יכולה להתפרסם בבטחה באתר אינטרנט, להיות מודפסת על כרטיס ביקור או להישלח לאלפי תורמים: לא משנה כמה תשלומים יגיעו אליה, כל אחד מהם יוצר פלט טרי, חד-פעמי ולא-קשור מבחינה מתמטית על הבלוקצ'יין.

המתמטיקה: כיצד נוצרת כתובת Stealth

כתובת ציבורית של Monero אינה hash כמו בביטקוין. היא צירוף של שני מפתחות ציבוריים על עקומה אליפטית Ed25519: מפתח הוצאה ציבורי (B גדולה) ומפתח צפייה ציבורי (A גדולה). המפתחות הפרטיים המתאימים הם b קטנה ו-a קטנה. כאשר מישהו רוצה לשלוח לכם XMR, הארנק שלו אינו שם את הכתובת שלכם בעסקה — זה היה מחבל בכל הרעיון. במקום זאת, הוא מבצע את החישוב הבא.

שלב 1: השולח מייצר מפתח עסקה אקראי

הארנק השולח בוחר סקלר אקראי טרי r לכל עסקה. ממנו הוא נגזר מפתח העסקה הציבורי R = r·G, כאשר G הוא נקודת הבסיס של Ed25519. הערך R מתפרסם בטקסט פתוח בשדה ה-extra של העסקה, אך בפני עצמו הוא אינו מסגיר דבר על זהות הנמען.

שלב 2: השולח מחשב סוד משותף

בעזרת מפתח הצפייה הציבורי A שלכם מתוך כתובת הארנק, השולח מחשב את הסוד המשותף r·A. זוהי חליפת Diffie-Hellman קלאסית על העקומה. בזכות הסימטריה של הפעולה, אתם — ורק אתם — יכולים לחשב מחדש את אותו הערך כ-a·R באמצעות מפתח הצפייה הפרטי שלכם. אף אחד אחר ברשת אינו יכול לעשות זאת, כי לאף אחד אחר אין את a הפרטי.

שלב 3: השולח גוזר מפתח פלט חד-פעמי

המפתח הציבורי החד-פעמי P שמופיע בפועל על הבלוקצ'יין מחושב כך:

P = H_s(r·A || i)·G + B

כאן H_s היא פונקציית hash סקלרית מבוססת keccak, i הוא אינדקס הפלט בתוך העסקה (כך שעסקאות עם מספר פלטים עדיין מייצרות מפתחות ייחודיים), ו-B הוא מפתח ההוצאה הציבורי שלכם. הפלט P הוא מה שנרשם בפועל על השרשרת כיעד. הוא נראה ככל מפתח רגיל באורך 32 בייט, בלתי-ניתן להבחנה מכל פלט אחר בכל עסקה אחרת. הקריטי מכול: P היא נקודה טרייה, שאיש מעולם לא ראה לפניה על העקומה — גם אם אותו שולח ישלם לאותו נמען אלף פעמים, כל אחד מהפלטים יהיה שונה לחלוטין.

שלב 4: המקבל סורק ומזהה בעלות

הארנק שלכם מוריד כל בלוק חדש, ולכל פלט בו הוא מחשב H_s(a·R || i)·G + B ובודק האם התוצאה שווה ל-P שעל השרשרת. אם כן — הפלט שייך לכם. זו הסיבה לכך שסנכרון ארנק Monero יכול להרגיש אטי במכשירים ניידים: הארנק חייב לבדוק כל פלט עדכני כנגד מפתח הצפייה שלכם. זו גם הסיבה לכך שמפתח הצפייה לבדו מספיק כדי לזהות עסקאות נכנסות מבלי להעניק כל סמכות הוצאה — הוא מסוגל לחשב את הסוד המשותף, אך לא לגזור את המפתח הפרטי החד-פעמי הדרוש להוצאה בפועל.

כדי להוציא בפועל את הפלט, אתם משלבים את מפתח ההוצאה הפרטי שלכם b עם אותו hash ומקבלים את המפתח הפרטי החד-פעמי x = H_s(a·R || i) + b, התואם ל-P. ללא b — שום כמות של מידע ממפתח הצפייה לא תאפשר לאיש להזיז את הכספים. ההפרדה הנקייה הזאת היא מה שמאפשר להעניק לרואי-חשבון, מבקרים או תוכנת מס גישת קריאה בלבד לארנק Monero ללא כל סיכון הוצאה — חשוב במיוחד בישראל, כאשר נישומים נדרשים לדווח לרשות המסים על החזקות וגיוסים בעוד שמירת השליטה הקריפטוגרפית בידיהם בלבד.

Stealth מול תת-כתובות מול כתובות משולבות

Monero כוללת בפועל שלושה מבנים שונים בצד המקבל. הם נוטים להתבלבל זה עם זה, אפילו אצל משתמשים מנוסים, ולכן כדאי לראות אותם זה לצד זה.

הנקודה החשובה: יצירת כתובת Stealth קורית ברמת הפרוטוקול, אוטומטית, לכל פלט, בלי קשר לכך אם היעד היה כתובת ראשית, תת-כתובת או כתובת משולבת. אתם לעולם לא מקלידים כתובת Stealth ידנית, כי לעולם אינכם רואים אחת — הארנק נוגז אותה מתוך כל כתובת שהשולח הדביק בשדה הנמען.

צעד אחר צעד: תשלום אמיתי מהשולח אל המקבל

נניח שאתם רוכשים שירותי אחסון מכבד-פרטיות מספק שמקבל XMR. הנה בדיוק מה שקורה מהרגע שבו לחצתם "שלח" עד הרגע שבו הסוחר רואה את היתרה.

1. אתם מדביקים את הכתובת הראשית או תת-הכתובת של הסוחר (המחרוזת הארוכה שמתחילה ב-4 או ב-8) בחלון השליחה של הארנק ומזינים את הסכום.
2. הארנק שלכם מייצר מפתח עסקה פרטי אקראי r ומחשב R = r·G. הערך R הוא מפתח העסקה הציבורי שילווה את העסקה.
3. עבור כל פלט נמען, הארנק גוזר את כתובת ה-Stealth החד-פעמית P = H_s(r·A || i)·G + B תוך שימוש במפתח הצפייה ובמפתח ההוצאה הציבוריים של הנמען. פלט עודף (change) שחוזר אליכם נוצר באותו אופן מתוך המפתחות שלכם.
4. הארנק בוחר 15 פלטי הסחה מאותה מחלקת ערכים מבלוקים קודמים ובונה חתימת טבעת מסוג CLSAG, כך שכל אחד מ-16 המועמדים יכול להיות המוציא האמיתי.
5. הסכומים מוצפנים בסוד המשותף של Diffie-Hellman, והוכחות טווח Bulletproofs+ מאשרות שכל הסכומים חיוביים מבלי לחשוף את ערכיהם.
6. העסקה משודרת דרך Dandelion++ כדי לטשטש את כתובת ה-IP של מקורה ממשקיפי רשת.
7. כאשר הבלוק נכרה, הארנק של הסוחר סורק אותו, מחשב את הסוד המשותף a·R לכל ערך R בעסקה, בודק האם אחד מערכי P הנגזרים תואם לפלט בעסקה, ומזכה את היתרה בשקט.

המחזור כולו אורך בערך 20 שניות של חישוב פלוס זמן הבלוק הממוצע של כשתי דקות. מבחוץ, העסקה נראית זהה לחלוטין לכל עסקת Monero אחרת על השרשרת: אותה מחלקת גודל, אותו גודל טבעת, אותו מבנה הוכחות. אין שום דרך עבור צד שלישי — בורסה, ספק אינטרנט, אנליסט בלוקצ'יין — להסתכל על השרשרת ולקבוע שהסוחר קיבל כספים, וקל וחומר לא לכמה הסתכמו.

הסוחר יכול לפרסם את אותה כתובת Monero בכל עמוד באתר שלו במשך עשר שנים ולעולם לא לפגוע בפרטיותו — כל תשלום נוחת על פלט חד-פעמי טרי ובלתי-ניתן לקישור שהבלוקצ'יין אינו מקשר לכתובת הציבורית.

מפני מה כתובות Stealth אינן מגנות

פרטיות קריפטוגרפית היא הכרחית אבל אינה מספיקה. כתובות Stealth מגנות מפני קישוריות על השרשרת, אך הן אינן מגנות מפני טעויות אנוש או דליפות מחוץ לשרשרת. הכרת המגבלות היא חלק משימוש נכון בכלי.

• KYC בשערי הכניסה: אם רכשתם XMR מבורסה מרוכזת שביצעה אימות זהות, הבורסה יודעת את ערך ה-R של עסקת המשיכה שלכם. הם לא יכולים לראות לאן שלחתם את המטבעות הלאה, אך יש להם נקודת התחלה חזקה. שימוש בשירות החלפה ללא KYC כדוגמת MoneroSwapper מונע את שתילת השורש הזה מלכתחילה.
• שימוש חוזר בכתובת מחוץ לשרשרת: כתובות Stealth מונעות קישור על השרשרת, אבל אם פרסמתם את אותה כתובת ראשית בטוויטר, בגיטהאב ובפוסט בפורום — כל אחד יכול לקשר בין הזהויות שלכם בעולם הפיזי, גם אם הוא אינו יכול לקשר בין העסקאות שלכם.
• דליפת מפתח צפייה: אם שיתפתם מפתח צפייה לצורך ביקורת, והמחשב של המבקר נפרץ מאוחר יותר — כל עסקה נכנסת בעבר ובעתיד לאותו ארנק תיחשף בפני התוקף. השתמשו בארנק ייעודי לכל ביקורת view-key, או צרו ארנק שני שמסונכרן רק ע"י המפתח המשותף.
• הסקה מתזמון וסכומים: גורם מעקב שמחזיק גם בורסה וגם בסוחר אינו יכול לקשר את הפלט על השרשרת, אבל הוא יכול לקשר תזמון וסכום מקורב של משיכה עם תשלום עוקב. זו הסיבה לכך ש-Monero ממליצה להמתין לפחות 10 אישורים (כ-20 דקות) לפני התייחסות לכספים כסופיים, ולכן סכומי תשלום לא צריכים להיות טביעות אצבע ייחודיות (להימנע משליחת 0.12345678 XMR אם החשבונית הייתה על 0.12345678 שקל).
• מטא-נתונים ברמת ה-IP: כתובות Stealth חיות בשכבה הקריפטוגרפית. פרטיות ברמת הרשת מסופקת ע"י Dandelion++ ומשתפרת משמעותית כאשר אתם מריצים node עצמאי מעל Tor או I2P. ארנק שמתחבר כברירת מחדל ל-node מרוחק שמופעל ע"י צד שלישי מדליף את הקישור בין ה-IP שלכם לבין הארנק לאותו מפעיל node.

דוגמה מעשית: קבלת תרומות באופן אנונימי

חשבו על עיתונאית עצמאית שמפרסמת בבלוג חשיפת מקורות בסוף 2025. היא מעוניינת לקבל תרומות מקוראים מבלי לחשוף את התורמים או את עצמה. זרימת העבודה שלה:

היא מפרסמת כתובת Monero ראשית אחת ויחידה ב-footer של האתר, בביוגרפיה החתומה ב-PGP שלה ובתחתית כל מאמר. במהלך ששה חודשים היא מקבלת 412 תרומות, מ-0.001 ועד 4.3 XMR. על הבלוקצ'יין — אף אחד מהתשלומים האלה אינו ניתן לקישור לכתובת המפורסמת שלה. אף תשלום אינו ניתן לקישור לתשלום אחר. סיירי בלוקים כדוגמת xmrchain.net מציגים 412 עסקאות ל-412 פלטים חד-פעמיים שונים, פזורים על פני אלפי בלוקים — ללא אפשרות לאשכל.

כאשר היא רוצה להמיר חלק לפיאט להוצאות מחיה, היא אינה שולחת את המטבעות לבורסה עם KYC — זה היה יוצר שובל ניירת שמחבר בין פעילות הארנק שלה לזהותה. במקום זאת היא משתמשת בשירות החלפה ללא KYC כדי להמיר XMR למטבע יציב מכבד-פרטיות או ל-BTC, אותם היא מוציאה דרך ערוץ ללא משמורן. מהתחלה ועד הסוף — אף מתווך מרכזי אינו מחזיק רישום שמחבר בין הכתובת שפרסמה לבין זהותה. זה מודל האיום שכתובות Stealth תוכננו עבורו, וזה מודל האיום שזרימת ההחלפה ללא חשבון של MoneroSwapper נועדה להרחיב — באמצעות הבטחה שגם נקודות הכניסה והיציאה ל-Monero לא יהפכו בעצמן לווקטור דהאנונימיזציה.

העתיד: FCMP++ ומה ישתנה עבור כתובות Stealth

גזירת כתובת ה-Stealth היא חלק מ-Monero מאז המאמר המקורי של CryptoNote בשנת 2014 ולא השתנתה באופן מהותי במשך למעלה מעשור. מה שמשתנה בשנת 2026 ואילך הוא שכבת הפרטיות בצד השולח. הוכחות חברות מלאות בשרשרת (Full-Chain Membership Proofs — FCMP++), הצפויות להיכנס לתוקף ב-hard fork במהלך 2026, יחליפו את חתימת הטבעת הנוכחית בעלת 16 חברים בהוכחת אפס-ידיעה (zero-knowledge) שהפלט שמוצא הוא אחד מכל הפלטים הזכאים שאי פעם נוצרו על השרשרת — בפועל קבוצת אנונימיות של עשרות מיליונים במקום 16.

עבור כתובות ה-Stealth, המתמטיקה נשארת זהה. פלט חד-פעמי עדיין נגזר כ-P = H_s(r·A || i)·G + B. המקבל עדיין סורק על-ידי חישוב a·R. מה שמשתנה הוא שכאשר המקבל יוציא מאוחר יותר את הפלט הזה, ההוכחה שהוא בבעלותו לא תצטרך עוד להצביע על 15 מסיחים ספציפיים. בשילוב עם Seraphis ופורמט הכתובות Jamtis במפת הדרכים הארוכה יותר, כתובות Stealth יהפכו לגמישות עוד יותר: Jamtis מציג תיוגי כתובת שמאפשרים לארנקים קלים לסרוק ביעילות גבוהה יותר מבלי להחליש את הבטחת חוסר-הקישוריות. התבנית הזאת — שבה מחקר מתמטי הופך לפרטיות פרושה — היא אחת הסיבות לכך ש-Monero נותרת הטמעת ההתייחסות (reference implementation) לפרטיות מקבל גם בשנת 2026.

שאלות נפוצות

האם מישהו יכול לראות כמה XMR קיבלה הכתובת שלי?

לא. בניגוד לביטקוין, שבו היתרה של כל כתובת גלויה לכול, לכתובת Monero ראשית אין כלל יתרה על השרשרת. היתרות מחושבות על-ידי הארנק של הבעלים כאשר הוא סורק פלטים שתואמים לגזירת ה-Stealth. צד שלישי שמחזיק רק בכתובת הציבורית שלכם אינו יכול לקבוע כמה עסקאות קיבלתם, באיזה היקף או מתי.

האם בטוח להשתמש שוב באותה כתובת Monero?

כן, מבחינה טכנית. כל תשלום לאותה כתובת עדיין מייצר כתובת Stealth ייחודית על השרשרת, כך שהעסקאות אינן ניתנות לקישור. עם זאת, לצורכי הנהלת חשבונות ופרטיות תפעולית, מומלץ לייצר תת-כתובת לכל גורם מתעניין, כך שאם תשתפו פעם מפתח צפייה או שגורם אחד ייפרץ — החשיפה תהיה מוגבלת לתת-הכתובת ההיא בלבד.

מה ההבדל בין מפתח צפייה לכתובת Stealth?

מפתח צפייה הוא מפתח פרטי השייך לארנק שלכם ומאפשר לבעליו לזהות תשלומים נכנסים על-ידי חישוב מחדש של גזירות ה-Stealth. כתובת Stealth היא הפלט החד-פעמי על השרשרת שמפתח הצפייה עוזר לכם למצוא. המפתח קורא אותן; הוא אינו מייצר אותן.

האם כתובות Stealth הופכות את Monero לעמיד בפני מחשוב קוונטי?

לא. כתובות Stealth מסתמכות על הנחת הלוגריתם הדיסקרטי על עקומת Ed25519, שמחשב קוונטי גדול מספיק יוכל לשבור באמצעות אלגוריתם Shor. למעבדת המחקר של Monero יש מספר הצעות פוסט-קוונטיות במפת הדרכים ארוכת-הטווח, ביניהן החלפות מבוססות-סריגים (lattice) לסכמה הנוכחית, אך אף אחת אינה פרושה בשנת 2026. עבור מודלי איום שכוללים יריבים קוונטיים אמינים — כתובות Stealth אינן עוזרות.

אם אני שולח XMR לעצמי, האם הארנק שלי מייצר כתובת Stealth?

כן. כל פלט — כולל פלט עודף (change) שחוזר אל השולח — הוא כתובת Stealth שנגזרת ממפתחות הצפייה וההוצאה שלכם עצמכם. זו הסיבה לכך שפלטי העודף שלכם בלתי-ניתנים לקישור לכתובתכם הראשית, וזו הסיבה לכך שארנק טרי שביצע רק פעולת שליחה-עצמית אחת ייראה על הבלוקצ'יין כמו שני נמענים בלתי-תלויים.

האם בית משפט או צו יכולים לכפות על כתובת Stealth לחשוף את בעליה?

אף צד המחזיק רק בנתוני שרשרת אינו יכול למפות כתובת Stealth חזרה לכתובת ציבורית ללא מפתח הצפייה. צו בית משפט יכול לכפות על בעלי ארנק (אם זהותו ידועה) למסור את מפתח הצפייה שלו, אך הוא אינו יכול לכפות על הרשת או על צד שלישי לבצע את הגזירה ההפוכה — מהסיבה הפשוטה שמתמטית, אין גזירה כזאת בכלל.

סיכום

כתובות Stealth הן החצי השקט של פרטיות Monero. חתימות טבעת ו-RingCT זוכות לרוב תשומת הלב התקשורתית כי הן מגנות על השולח ועל הסכום, אבל בלי מפתחות פלט חד-פעמיים לכל עסקה — ההגנות האלה היו ריקות מתוכן. היעד עדיין היה מודלף, וניתוח שרשרת עדיין היה מאשכל מקבלים. מה ש-CryptoNote הצליחה לעשות נכון ב-2014, ומה ש-Monero נשאה איתה הלאה במשך עשר שנים של שדרוגים, היא ההכרה ששפרטיות המקבל היא מבנית, לא אופציונלית: היא חייבת להיות אפויה לתוך כל עסקה ועסקה, אוטומטית, מבלי לדרוש מהמשתמש לבחור-להצטרף. הבחירה המבנית הזאת היא הסיבה לכך שפרסום כתובת תרומות ב-XMR בטוח בצורה שפרסום כתובת תרומות ב-BTC פשוט אינו.

אם אתם באים מעולם הביטקוין ורוצים להשתמש בתכונה הזאת בפועל, הצעד הראשון הנקי ביותר הוא לרכוש קצת XMR מבלי ליצור נקודת כניסה הקשורה לזהותכם. MoneroSwapper מאפשרת לכם להחליף BTC, ETH, LTC, USDT ועוד תריסר נכסים אחרים ל-Monero ללא חשבון, ללא KYC וללא שמירת לוגים שעלולים מאוחר יותר לחבל באותן הבטחות פרטיות שתוארו כאן. ברגע שהמטבעות מגיעים אל הארנק שלכם, כתובות Stealth עושות את שאר העבודה אוטומטית — כל תשלום שתקבלו אי-פעם יהיה בלתי-ניתן לקישור לכל אחר, והאדם היחיד שיוכל להוכיח בעלות על מי מהם הוא אתם.