Monero Bulletproofs+ מול Bulletproofs: מדריך 2026

MoneroSwapper · פורסם: May 27, 2026 · עודכן: May 31, 2026 · 2 min read · 10 views

Monero Bulletproofs+ מול Bulletproofs: מה באמת השתנה

ב-13 באוגוסט 2022, שדרוג רשת של Monero החליף בשקט רכיב קריפטוגרפי שכמעט אף משתמש לא רואה — אבל כולם נשענים עליו. הוכחות הטווח של Bulletproofs+ באו במקום Bulletproofs המקוריות, גזרו עוד בייטים מכל עסקה וקיצרו את זמן האימות עבור אלפי הצמתים המלאים ששומרים על השרשרת. אם אי פעם העברתם XMR דרך שירות ללא KYC כמו MoneroSwapper, העסקה שלכם נשאה אחת מההוכחות האלה כמטען קריפטוגרפי — ראיה מתמטית לכך שאתם לא מייצרים מטבעות יש מאין.

שני השמות נשמעים כמעט זהים, והערות הגרסה כמעט אף פעם לא מסבירות את הפער. האם Bulletproofs+ הוא שדרוג פרטיות? שדרוג מהירות? מערכת חדשה לגמרי? התשובה הקצרה: זהו שדרוג יעילות, לא שדרוג פרטיות. המדריך הזה מפרק מה כל הוכחה באמת עושה, למה Monero אימצה אותן באוקטובר 2018 ובאוגוסט 2022 בהתאמה, וכמה משמעותי ההבדל המעשי ביניהן עבור עסקה רגילה ב-2026.

למה Monero בכלל זקוקה להוכחות טווח

Monero מסתירה את סכומי העסקאות באמצעות RingCT (Ring Confidential Transactions), שהוצג בינואר 2017. במקום לרשום את הסכום בטקסט גלוי, כל פלט שומר התחייבות פדרסן (Pedersen commitment) מהצורה C = xG + aH, כאשר a הוא הסכום הנסתר, x הוא גורם הסוואה אקראי, ו-G ו-H הם מחוללים קבועים על העקום האליפטי. הרשת יכולה לאמת שהקלטים שווים לפלטים מבלי ללמוד אי פעם את המספרים עצמם.

הסודיות הזו יוצרת פרצה מסוכנת. אם איש אינו רואה את הסכום, מה מונע משולח זדוני להתחייב על ערך ענק שעוקף את סדר החבורה של העקום — וכך למעשה לייצר XMR מכלום? כאן נכנסות הוכחות הטווח לתמונה ומצדיקות את קיומן.

הגנה מפני אינפלציה: הוכחת טווח מוכיחה שכל סכום נסתר נמצא בתוך הקטע התקף [0, 2⁶⁴) מבלי לחשוף את הספרה. בלי סכומים שליליים, בלי גלישת מספרים שלמים, בלי מטבעות מזויפים.
אפס ידע (zero-knowledge): ההוכחה לא מדליפה דבר על הערך האמיתי. המאמת לומד רק "המספר הזה נמצא בטווח", לעולם לא את המספר עצמו.
ללא הקמה אמינה (trusted setup): בניגוד להרבה מבנים מסוג zk-SNARK, Bulletproofs ו-Bulletproofs+ אינן דורשות טקס סודי. אין "פסולת רעילה" שיכולה לשמש מאוחר יותר לזיוף הוכחות.
צבירה (aggregation): הוכחה אחת יכולה לכסות בבת אחת את כל הפלטים של עסקה, כך שהגודל גדל רק לוגריתמית ולא ליניארית עם כל פלט חדש.

כל בייט שמושקע בהוכחות האלה חי על הבלוקצ'יין לנצח, משוכפל בכל צומת על פני כדור הארץ. לכן יעילות הוכחות הטווח אינה הערת שוליים — היא מעצבת ישירות את העמלות של Monero, את זמני הסנכרון ואת נטל האחסון לטווח הארוך, וכל אלה מהווים את הבסיס לחליפיוּת (fungibility) של המטבע.

Bulletproofs: פריצת הדרך של 2018

לפני Bulletproofs, Monero השתמשה בחתימות טבעת מסוג Borromean כדי לבנות את הוכחות הטווח שלה. הן עבדו, אבל היו אכזריות מבחינת נפח: ההוכחה גדלה ליניארית עם מספר הביטים שהוכחו, ועסקה בודדת עם שני פלטים התנפחה לכ-13 KB. בשרשרת פרטיות שכבר נושאת נתוני חתימות טבעת כבדים, זה היה בלתי בר-קיימא.

Bulletproofs, שהוצעו על ידי Benedikt Bünz, Jonathan Bootle ושותפים נוספים ב-2017, נחתו על ה-mainnet של Monero עם שדרוג הרשת של אוקטובר 2018. התוצאה הייתה דרמטית. עסקה טיפוסית התכווצה בכ-80%, ירדה מ-13 KB לכ-2.5 KB, והעמלה החציונית קרסה ביותר מ-95%. זה נשאר אחד מהישגי היעילות הבודדים הגדולים ביותר בהיסטוריה של Monero.

איך Bulletproofs עובדות מתחת למכסה המנוע

המנוע שבתוך Bulletproofs הוא טיעון המכפלה הפנימית (inner-product argument, או IPA). המוכיח מקודד את הביטים של הסכום לשני וקטורים, ועליו לשכנע את המאמת שהמכפלה הפנימית שלהם שווה לערך מסוים. במקום לשלוח את הווקטורים המלאים, הפרוטוקול רץ כמה סבבים ובכל אחד מהם חוצה לשניים את אורך הווקטור. אחרי log₂(n) סבבים, נותרת רק חופן נקודות על העקום לשידור.

הקנה־מידה הלוגריתמי הזה הוא הקסם. הוכחת טווח של 64 ביט דורשת הוכחה של כמה מאות בייטים בלבד, וצבירה של כמה פלטים מוסיפה רק אלמנט או שניים — לא הוכחה חדשה לגמרי. כדי להפוך את טיעון המכפלה הפנימית לחסר ידע, גרסת ה-Bulletproofs הקלאסית מצמידה אליו איברי הסוואה נוספים שנשלחים לצד הטיעון המרכזי.

אימות באצווה

Bulletproofs גם מאפשרות לצמתים לאמת הרבה הוכחות יחד בפעולה מאוחדת אחת, מה שזול בהרבה מבדיקת כל אחת בנפרד. זה משנה תמונה לחלוטין כשצומת מלא מסנכרן שנים של היסטוריה או מאמת בלוק שזה עתה נכרה ועמוס בעסקאות מתוך ה-mempool.

Bulletproofs+ מול Bulletproofs: ההבדלים האמיתיים

Bulletproofs+ מגיע ממאמר מ-2020 של Heewon Chung, Kyoohyung Han, Chanyang Ju, Myungsun Kim ו-Jae Hong Seo. החידוש המרכזי שלו הוא החלפת טיעון המכפלה הפנימית בטיעון מכפלה פנימית משוקללת (weighted inner-product, או WIP). ה-WIP מקפל את הסוואת חוסר-הידע ישירות לתוך הטיעון עצמו, כך שהמוכיח כבר לא צריך לשדר את איברי ההסוואה הנפרדים ש-Bulletproofs הקלאסית דרשה.

פחות אלמנטים משודרים פירושו הוכחה קטנה יותר ואימות מעט זול יותר. בפריסה של Monero, Bulletproofs+ קיצץ את חלק הוכחת הטווח בעסקה בכ-5–7% והאיץ את האימות במידה מתונה. זה שיפור מצטבר — רחוק מאוד מהקפיצה של 80% משנת 2018, אבל חיסכון "חינמי" שמצטבר על פני מיליוני עסקאות ועל פני האחסון של כל צומת.

וזה החשוב מכול: תכונות הפרטיות זהות לחלוטין. שתי ההוכחות מסתירות סכומים באותה מידה בדיוק; שתיהן מסתמכות על אותו טווח של 64 ביט ועל אותה סכמת התחייבות פדרסן. כל מי שמשווק את Bulletproofs+ כ"פרטי יותר" פשוט טועה. הפרטיות מגיעה מ-RingCT, מחתימות הטבעת ומ-CLSAG — הוכחת הטווח רק מבטיחה שהסכומים ישרים.

תכונה	Bulletproofs (2018)	Bulletproofs+ (2022)
הפעלה ב-Monero	אוקטובר 2018 (v8)	אוגוסט 2022 (v15)
הטיעון המרכזי	טיעון מכפלה פנימית	טיעון מכפלה פנימית משוקללת
הסוואת חוסר-ידע	איברים נוספים נשלחים בנפרד	מקופלת לתוך הטיעון
גודל הוכחה מול הקודמת	קטנה בכ-80% מ-Borromean	קטנה בכ-5–7% מ-Bulletproofs
מהירות אימות	מהירה, ניתנת לאצווה	מעט מהירה יותר, ניתנת לאצווה
הקמה אמינה	אין	אין
הטווח שמוכח	[0, 2⁶⁴)	[0, 2⁶⁴)
השפעה על פרטיות	מסתירה סכומים	זהה — יעילות בלבד

שדרוג אוגוסט 2022 עשה יותר מאשר רק החליף את הוכחת הטווח. הוא גם הביא איתו view tags, שהאיצו את סריקת הארנקים בכ-40%, והגדיל את גודל הטבעת מ-11 ל-16 מטבעות פיתוי (decoys). Bulletproofs+ עזר לקזז חלק מהמשקל הנוסף שהטבעות הגדולות יותר הוסיפו, ושמר על עסקאות רזות גם כשמרחב האנונימיות גדל.

איך הוכחת טווח עוברת דרך עסקה

כדאי לראות איפה ההוכחות האלה יושבות במחזור החיים של תשלום ב-XMR. השלבים הבאים עוקבים אחרי פלט בודד מרגע היצירה ועד האישור.

התחייבות על הסכום. הארנק שלכם בוחר גורם הסוואה אקראי ובונה את התחייבות פדרסן C = xG + aH לכל פלט, ובכך מסתיר את הערך על השרשרת.
יצירת ההוכחה. הארנק בונה הוכחת טווח מצוברת אחת של Bulletproofs+ שמכסה את כל הפלטים, ומוכיח שכל סכום נמצא ב-[0, 2⁶⁴) מבלי לחשוף אותו.
שידור. העסקה החתומה — נתוני חתימת הטבעת, תמונת המפתח (key image), ההתחייבויות והוכחת הטווח — מתפשטת ברשת דרך Dandelion++ ונוחתת ב-mempool.
אימות. כל צומת מלא בודק את הוכחת הטווח (לעיתים קרובות באצווה עם אחרות), מוודא שהקלטים מאזנים את הפלטים, ומאמת את חתימות הטבעת לפני העברה הלאה.
אישור. כורה מכליל את העסקה בבלוק; אחרי עשרה אישורים הכספים נחשבים מסולקים וזמינים להוצאה.

אם הוכחת טווח בודדת נכשלת באימות, העסקה כולה נדחית — אין קבלה "חלקית". כלל ה"הכול או כלום" הזה הוא מה שהופך את הערובה נגד אינפלציה לאטומה לחלוטין.

מה ההבדל אומר בפועל

עבור משתמש רגיל, המעבר מ-Bulletproofs ל-Bulletproofs+ היה בלתי נראה. עדכנתם את הארנק, והעסקאות שלכם פשוט התחילו לבנות את ההוכחה החדשה יותר. שום מטבע לא הפך לבלתי ניתן להוצאה, אף כתובת לא השתנתה, ושום דבר במצב הפרטיות שלכם לא זז. התועלת נחתה ברמת הרשת.

עסקת Monero סטנדרטית עם שני קלטים ושני פלטים ב-2026 שוקלת בערך 1.5 KB ועולה שבריר של סנט אמריקאי בעדיפות רגילה. Bulletproofs+ הוא אחת הסיבות לכך שהמספר הזה נשאר נמוך גם אחרי שגודל הטבעת קפץ ל-16. הכפילו את החיסכון של 5–7% בהוכחת הטווח על פני מיליוני העסקאות שמאושרות מדי שנה, ותקבלו בלוקים רזים יותר במידה מדידה, סנכרון התחלתי מהיר יותר לצמתים חדשים, וטביעת רגל קלה יותר עבור כל מי שמריץ Monero מעל Tor על חומרה צנועה.

היעילות הזו ניזונה ישירות לתוך הנגישות. עמלות נמוכות יותר ועסקאות קטנות יותר הופכות את הקמת הצומת לזולה יותר, וזה שומר על הרשת מבוזרת. כשאתם ממירים ל-XMR דרך MoneroSwapper ומושכים לארנק שלכם, ההוכחה שרוכבת בתוך העסקה הזו היא בדיוק אותו אובייקט Bulletproofs+ רזה שכל משתמש אחר ב-2026 מייצר — וכך נשמרת החליפיוּת, כי פלט XMR אחד אינו ניתן להבחנה קריפטוגרפית מהפלט הבא.

שווה לציין שהוכחות טווח הן רק שכבה אחת בערימת הפרטיות של Monero. רשויות מס כמו רשות המסים בישראל וגופי פיקוח כמו רשות ניירות ערך בוחנים תנועות קריפטו, אבל הוכחת טווח לא חושפת דבר על השולח, המקבל או הסכום. תפקידה היחיד הוא יושר לגבי ההיצע, לא אנונימיות — אותה עבודה מטופלת במקום אחר בפרוטוקול.

הוכחות טווח מול גישות פרטיות אחרות

קל לפספס למה Monero בכלל טרחה עם Bulletproofs כשמטבעות פרטיות אחרים בחרו במסלולים שונים. Zcash, למשל, נשענת על zk-SNARK שמדחיסים הוכחה לכמה מאות בייטים עם אימות כמעט מיידי — מספרים שגורמים אפילו ל-Bulletproofs+ להיראות גדולים. אז למה לא לאמץ את אותה גישה?

התשובה היא הטקס. רוב מערכות ה-SNARK היעילות נבנות סביב הקמה אמינה (trusted setup) שמייצרת פרמטרים ציבוריים — אבל גם פסולת רעילה (toxic waste) סודית. אם מישהו ישמור עותק של אותה פסולת, הוא יוכל לזייף הוכחות ולנפח את ההיצע מבלי שאיש יבחין. Monero, שכל הפילוסופיה שלה בנויה על "אל תאמין, אמת" (don't trust, verify), פשוט סירבה לקבל סיכון כזה. Bulletproofs ו-Bulletproofs+ קונות פרטיות ויעילות בלי שום צד שצריך לסמוך עליו שמחק קובץ סודי. זו עסקה: ההוכחות מעט גדולות יותר משל SNARK, אבל אין נקודת כשל אמון אחת בכל ההיסטוריה של הפרוטוקול.

היבט שני שקל לשכוח הוא נטל האחסון המצטבר. כל הוכחת טווח שאי פעם נכתבה ל-Monero נשארת על השרשרת לתמיד, ומישראל ועד יפן כל צומת חייב לשמור עותק. בגודל הבלוקצ'יין של 2026 — עשרות ג'יגה-בייט — כל אחוז שנחסך בהוכחת טווח מתורגם ישירות לפחות מקום בכונן, סנכרון התחלתי קצר יותר ויותר אנשים שיכולים להריץ צומת מלא בבית במקום להישען על שרת של מישהו אחר. החיסכון של 5–7% נשמע קטן בעסקה בודדת, אבל על פני שנים של תנועה הוא חלק ממה ששומר על הרשת מבוזרת ועצמאית.

שאלות נפוצות

האם Bulletproofs+ הפך את ה-Monero הישן שלי לבלתי ניתן להוצאה?

לא. השינוי היה שדרוג ברמת הקונצנזוס שהופעל בגובה בלוק מסוים. אחרי הפיצול (fork) של אוגוסט 2022, ארנקים מעודכנים פשוט התחילו לבנות הוכחות Bulletproofs+ לעסקאות חדשות. מטבעות שהתקבלו בעידן Bulletproofs הישן ניתנים להוצאה ללא כל בעיה — ההוכחה נוצרת מחדש בכל פעם שאתם שולחים, היא לא נשמרת לצמיתות יחד עם היתרה שלכם.

האם Bulletproofs+ פרטי יותר מ-Bulletproofs?

לא. שתיהן מסתירות סכומים באותה מידה בדיוק ומוכיחות את אותו טווח [0, 2⁶⁴). Bulletproofs+ הוא שיפור יעילות גרידא — הוכחות קטנות יותר ואימות מעט מהיר יותר. הפרטיות האמיתית של Monero מגיעה מ-RingCT, מכתובות סמויות (stealth addresses) ומחתימות הטבעת CLSAG — בשום אחת מהן הוכחת הטווח לא נוגעת.

האם אני צריך לעשות משהו כדי להשתמש ב-Bulletproofs+?

רק להריץ ארנק עדכני. תוכנת Monero הרשמית, ה-GUI וה-CLI, וארנקים מהימנים של צד שלישי בונים הוכחות Bulletproofs+ כברירת מחדל מאז שדרוג 2022. אין הגדרה להפעיל ואין הגירה לבצע — זה אוטומטי.

למה Monero לא משתמשת ב-zk-SNARKs במקום?

רוב מערכות ה-zk-SNARK היעילות דורשות טקס הקמה אמינה (trusted setup), שמייצר פרמטרים סודיים שאם ידלפו, יוכלו לאפשר לתוקף לזייף הוכחות ולנפח את ההיצע בלי שיבחינו. Bulletproofs ו-Bulletproofs+ לא זקוקות לטקס כזה, וזה מתיישב עם הפילוסופיה חסרת-האמון (trustless) של Monero. התמורה היא הוכחות מעט גדולות יותר ואימות שגדל עם גודל הטענה.

מה בא אחרי Bulletproofs+?

הקפיצה הגדולה הבאה היא FCMP++ (Full-Chain Membership Proofs), שמטרתה להחליף את חתימות הטבעת בהוכחה שמסתירה כל הוצאה בתוך הבלוקצ'יין כולו, במקום בטבעת של 16 מטבעות פיתוי. היא משתמשת במנגנון הוכחה משלה, נמצאת בבדיקות פעילות לאורך 2025–2026, ומתוכננת לפיצול קשיח (hard fork) עתידי. הוכחות טווח כמו Bulletproofs+ ככל הנראה ישמרו על תפקידן גם כש-FCMP++ ישפץ את צד החברוּת (membership) של הפרטיות.

השורה התחתונה

Bulletproofs היה המהפכה — קיצוץ של 80% בגודל שהפך סכומים חסויים למעשיים ב-2018. Bulletproofs+ הוא הליטוש — שיפור של 5–7% ב-2022 שהחליף את טיעון המכפלה הפנימית בגרסה משוקללת, קיפל את חוסר-הידע לתוך ההוכחה וחסך בייטים בכל עסקה מבלי לשנות דבר בפרטיות שלכם. הבנת ההבדל פירושה שתוכלו לזהות את מיתוס השיווק שמכנה את ההוכחה החדשה "אנונימית יותר": היא פשוט לא, והיא לא צריכה להיות.

שתי ההוכחות חולקות את אותה מטרה — להבטיח שאף אחד לא מזייף XMR בזמן שהסכומים נשארים אטומים. אותה יושרה שקטה היא חלק ממה ששומר על כל מטבע כבר-החלפה. מוכנים לרתום את זה לעבודה? אתם יכולים לקנות Monero באנונימיות דרך MoneroSwapper ללא חשבון וללא KYC, וכל פלט שתקבלו יישלח עם אותה הוכחת Bulletproofs+ רזה ומנוסה בקרבות ששאר הרשת סומכת עליה.

🌍 קרא בשפה

English Español Português Русский Deutsch Italiano Français Indonesia Tiếng Việt 한국어 日本語 ไทย हिन्दी العربية 中文 Türkçe Melayu فارسی Filipino עברית

שתף מאמר זה