Bulletproofs+ vs Bulletproofs no Monero: Guia 2026
Monero Bulletproofs+ vs Bulletproofs: o que mudou de verdade
No dia 13 de agosto de 2022, uma atualização de rede do Monero trocou, quase em silêncio, uma peça de criptografia que praticamente nenhum usuário enxerga, mas da qual todo mundo depende. O Bulletproofs+ substituiu as provas de intervalo originais, o Bulletproofs, raspando ainda mais bytes de cada transação e reduzindo o tempo de verificação para os milhares de nós completos que fiscalizam a rede. Se você já movimentou XMR por um serviço sem KYC como o MoneroSwapper, a sua transação carregou uma dessas provas como bagagem criptográfica — uma evidência matemática de que você não está, às escondidas, criando moedas do nada.
Os dois nomes são quase idênticos, e as notas de versão raramente explicam a diferença. Bulletproofs+ é uma melhoria de privacidade? De velocidade? Um sistema totalmente novo? Resposta curta: é uma melhoria de eficiência, não de privacidade. Este guia destrincha o que cada prova faz na prática, por que o Monero adotou uma em outubro de 2018 e a outra em agosto de 2022, e o quanto a diferença entre elas realmente importa para uma transação comum em 2026.
Por que o Monero precisa de provas de intervalo
O Monero esconde os valores das transações usando o RingCT (Ring Confidential Transactions), introduzido em janeiro de 2017. Em vez de escrever o valor em texto claro, cada saída guarda um compromisso de Pedersen na forma C = xG + aH, onde a é o valor oculto, x é um fator de ocultação aleatório e G e H são geradores fixos da curva elíptica. A rede consegue verificar que as entradas batem com as saídas sem nunca aprender os números envolvidos.
Esse sigilo abre uma brecha perigosa. Se ninguém consegue ver o valor, o que impede um remetente mal-intencionado de comprometer um número gigantesco, capaz de dar a volta na ordem do grupo da curva — e, na prática, fabricar XMR do nada? É aqui que as provas de intervalo justificam seu lugar.
- Defesa contra inflação: a prova de intervalo demonstra que todo valor oculto está dentro do intervalo válido [0, 264) sem revelar a cifra. Nada de valores negativos, nada de estouro de inteiros, nada de moedas falsificadas.
- Conhecimento zero: a prova não vaza nada sobre o valor real. Quem verifica aprende apenas "este número está dentro do intervalo", jamais o número em si.
- Sem cerimônia de confiança: diferentemente de muitas construções zk-SNARK, o Bulletproofs e o Bulletproofs+ dispensam qualquer cerimônia secreta de setup. Não existe "lixo tóxico" que possa, mais tarde, ser usado para forjar provas.
- Agregação: uma única prova cobre todas as saídas de uma transação de uma vez, então o tamanho cresce de forma logarítmica, e não linear, a cada nova saída.
Cada byte gasto nessas provas vive na blockchain para sempre, replicado em todos os nós do planeta. É por isso que a eficiência das provas de intervalo não é nota de rodapé: ela molda diretamente as taxas do Monero, o tempo de sincronização e o peso de armazenamento de longo prazo — tudo aquilo que sustenta a fungibilidade da moeda.
Bulletproofs: o salto de 2018
Antes do Bulletproofs, o Monero usava assinaturas em anel Borromean para montar suas provas de intervalo. Funcionavam, mas eram cruéis com o espaço: a prova crescia de forma linear com o número de bits provados, e uma simples transação de duas saídas inchava para cerca de 13 KB. Numa rede de privacidade que já carrega dados pesados de assinatura em anel, isso era insustentável.
O Bulletproofs, proposto por Benedikt Bünz, Jonathan Bootle e coautores em 2017, chegou à mainnet do Monero na atualização de rede de outubro de 2018. O resultado foi dramático. Uma transação típica encolheu cerca de 80%, caindo de uns 13 KB para algo em torno de 2,5 KB, e a taxa mediana despencou mais de 95%. Continua sendo um dos maiores ganhos de eficiência da história do Monero.
Como o Bulletproofs funciona por dentro
O motor dentro do Bulletproofs é o argumento de produto interno (inner-product argument, ou IPA). O provador codifica os bits do valor em dois vetores e precisa convencer o verificador de que o produto interno entre eles é igual a um valor específico. Em vez de enviar os vetores inteiros, o protocolo executa várias rodadas, cortando o comprimento de cada vetor pela metade a cada passo. Depois de log2(n) rodadas, sobra apenas um punhado de pontos da curva para transmitir.
É essa escala logarítmica que faz a mágica. Provar um intervalo de 64 bits exige uma prova de poucas centenas de bytes, e agregar várias saídas acrescenta só alguns elementos extras, em vez de uma prova inteiramente nova. Para tornar o argumento de produto interno de conhecimento zero, o Bulletproofs original adiciona termos de ocultação que são enviados junto com o argumento principal.
Verificação em lote
O Bulletproofs também permite que os nós verifiquem muitas provas juntas, numa única operação em lote, o que é muito mais barato do que checar cada uma isoladamente. Isso pesa enormemente quando um nó completo sincroniza anos de histórico ou valida um bloco recém-minerado, recheado de transações vindas do mempool.
Bulletproofs+ vs Bulletproofs: as diferenças reais
O Bulletproofs+ vem de um artigo de 2020 escrito por Heewon Chung, Kyoohyung Han, Chanyang Ju, Myungsun Kim e Jae Hong Seo. Sua inovação central é substituir o argumento de produto interno por um argumento de produto interno ponderado (weighted inner-product, ou WIP). O WIP dobra a ocultação de conhecimento zero diretamente para dentro do próprio argumento, de modo que o provador não precisa mais transmitir os termos de mascaramento separados que o Bulletproofs original exigia.
Menos elementos transmitidos significa uma prova menor e uma verificação um pouco mais barata. Na implantação do Monero, o Bulletproofs+ reduziu a parte de prova de intervalo de uma transação em cerca de 5% a 7% e acelerou modestamente a verificação. É um refinamento incremental — nem de longe o salto de 80% de 2018, mas uma economia gratuita que se acumula ao longo de milhões de transações e no armazenamento de cada nó.
O ponto crucial: as propriedades de privacidade são idênticas. As duas provas escondem os valores igualmente bem; ambas se apoiam no mesmo intervalo de 64 bits e no mesmo esquema de compromisso de Pedersen. Quem vende o Bulletproofs+ como "mais privado" está enganado. A privacidade vem do RingCT, das assinaturas em anel e do CLSAG — a prova de intervalo só garante valores honestos.
| Propriedade | Bulletproofs (2018) | Bulletproofs+ (2022) |
|---|---|---|
| Ativação no Monero | Outubro de 2018 (v8) | Agosto de 2022 (v15) |
| Argumento central | Produto interno | Produto interno ponderado |
| Ocultação de conhecimento zero | Termos extras enviados à parte | Dobrada para dentro do argumento |
| Tamanho da prova vs antecessor | ~80% menor que o Borromean | ~5–7% menor que o Bulletproofs |
| Velocidade de verificação | Rápida, verificável em lote | Um pouco mais rápida, em lote |
| Cerimônia de confiança | Nenhuma | Nenhuma |
| Intervalo provado | [0, 264) | [0, 264) |
| Impacto na privacidade | Esconde valores | Idêntico — só eficiência |
A atualização de agosto de 2022 fez mais do que trocar a prova de intervalo. Ela também trouxe as view tags, que aceleraram a varredura das carteiras em cerca de 40%, e aumentou o tamanho do anel de 11 para 16 chamarizes. O Bulletproofs+ ajudou a compensar o peso extra que esses anéis maiores acrescentaram, mantendo as transações enxutas mesmo com o conjunto de anonimato crescendo.
Como uma prova de intervalo atravessa uma transação
Ajuda enxergar onde essas provas se encaixam no ciclo de vida de um pagamento em XMR. Os passos abaixo seguem uma única saída, da criação à confirmação.
- Comprometer o valor. Sua carteira escolhe um fator de ocultação aleatório e monta o compromisso de Pedersen C = xG + aH para cada saída, escondendo o valor na blockchain.
- Gerar a prova. A carteira constrói uma prova de intervalo Bulletproofs+ agregada, cobrindo todas as saídas, provando que cada valor está em [0, 264) sem expô-lo.
- Transmitir. A transação assinada — dados da assinatura em anel, imagem de chave, compromissos e a prova de intervalo — se propaga pela rede via Dandelion++ e cai no mempool.
- Verificar. Cada nó completo checa a prova de intervalo (muitas vezes em lote com outras), confirma que as entradas equilibram as saídas e valida as assinaturas em anel antes de retransmitir.
- Confirmar. Um minerador inclui a transação num bloco; depois de dez confirmações, os fundos são considerados liquidados e disponíveis para gasto.
Se uma única prova de intervalo falhar na verificação, a transação inteira é rejeitada — não existe aceitação "parcial". É essa regra do tudo ou nada que torna a garantia contra inflação à prova de balas.
O que a diferença significa na prática
Para o usuário comum, a troca do Bulletproofs pelo Bulletproofs+ foi invisível. Você atualizou a carteira e suas transações simplesmente passaram a montar a prova mais nova. Nenhuma moeda virou impossível de gastar, nenhum endereço mudou e nada na sua postura de privacidade se alterou. O benefício caiu no nível da rede.
Uma transação Monero comum de duas entradas e duas saídas em 2026 pesa cerca de 1,5 KB e custa uma fração de centavo de dólar na prioridade normal. O Bulletproofs+ é uma das razões de esse número ter ficado baixo mesmo depois de o tamanho do anel pular para 16. Multiplique a economia de 5% a 7% na prova de intervalo pelos milhões de transações confirmadas a cada ano e você obtém blocos visivelmente mais magros, sincronização inicial mais rápida para novos nós e uma pegada mais leve para quem roda o Monero sobre o Tor em hardware modesto.
Essa eficiência alimenta diretamente a acessibilidade. Taxas menores e transações mais enxutas tornam mais barato subir um nó, o que mantém a rede descentralizada. Quando você converte para XMR pelo MoneroSwapper e saca para a sua própria carteira, a prova que viaja dentro daquela transação é o mesmo objeto Bulletproofs+ enxuto que todo outro usuário de 2026 produz — preservando a fungibilidade, porque uma saída de XMR é criptograficamente indistinguível da seguinte.
Provas de intervalo, fungibilidade e o cenário regulatório brasileiro
Vale insistir: as provas de intervalo são apenas uma camada da pilha de privacidade do Monero. Aqui no Brasil, a Receita Federal exige a declaração de criptoativos pela Instrução Normativa 1.888, e as corretoras reportam movimentações acima de R$ 30 mil; a CVM regula ativos tratados como valores mobiliários, enquanto o Banco Central do Brasil cuida do arcabouço de pagamentos e do real digital. Nenhuma dessas exigências é afetada por uma prova de intervalo — ela não revela remetente, destinatário nem valor.
O papel da prova é estritamente garantir honestidade quanto à oferta de moedas, e não anonimato; esse trabalho é feito em outras partes do protocolo. Por isso é um erro técnico tratar a troca de Bulletproofs por Bulletproofs+ como se mexesse na sua exposição perante o fisco ou os reguladores. Quem precisa declarar continua precisando declarar, na mesma medida de antes e de depois da atualização de 2022.
A fungibilidade, por sua vez, é o que de fato distingue o XMR de um ativo apenas "pseudônimo" como o Bitcoin. Como cada saída produz uma prova Bulletproofs+ idêntica e nenhum histórico fica grudado na moeda, não existe XMR "sujo" ou "limpo" do ponto de vista da cadeia. Para o usuário brasileiro, isso significa que uma moeda recebida hoje carrega exatamente o mesmo peso criptográfico de qualquer outra — e a eficiência da nova prova é justamente o que mantém esse padrão barato o suficiente para rodar em uma conexão doméstica comum, sem depender de hardware caro.
Perguntas frequentes
O Bulletproofs+ deixou meu Monero antigo impossível de gastar?
Não. A mudança foi uma atualização no nível de consenso, ativada numa altura de bloco específica. Depois do fork de agosto de 2022, as carteiras atualizadas simplesmente começaram a construir provas Bulletproofs+ para transações novas. Moedas recebidas na era do Bulletproofs antigo são gastas sem nenhum problema — a prova é gerada na hora, a cada envio, e não fica armazenada permanentemente junto com o seu saldo.
O Bulletproofs+ é mais privado que o Bulletproofs?
Não. Os dois escondem os valores exatamente no mesmo grau e provam o idêntico intervalo [0, 264). O Bulletproofs+ é puramente uma melhoria de eficiência — provas menores e verificação um pouco mais rápida. A privacidade de verdade do Monero vem do RingCT, dos endereços furtivos e das assinaturas em anel CLSAG, e a prova de intervalo não toca em nenhum deles.
Preciso fazer algo para usar o Bulletproofs+?
Basta rodar uma carteira atual. O software oficial do Monero, a GUI e a CLI, além de carteiras de terceiros confiáveis, constroem provas Bulletproofs+ por padrão desde a atualização de 2022. Não há nenhuma configuração para ativar e nenhuma migração a fazer — é automático.
Por que o Monero não usa zk-SNARKs no lugar?
A maioria dos sistemas zk-SNARK eficientes exige uma cerimônia de setup confiável, que produz parâmetros secretos capazes de, se vazados, permitir que um atacante forje provas e infle a oferta sem ser detectado. O Bulletproofs e o Bulletproofs+ dispensam essa cerimônia, alinhados à filosofia sem-confiança do Monero. O custo dessa escolha são provas um pouco maiores e uma verificação que cresce com o tamanho da afirmação a ser provada.
O que vem depois do Bulletproofs+?
O próximo grande salto é o FCMP++ (Full-Chain Membership Proofs), que pretende substituir as assinaturas em anel por uma prova que esconde cada gasto entre toda a blockchain, em vez de um anel de 16 chamarizes. Ele usa sua própria maquinaria de provas e vem sendo testado ativamente ao longo de 2025–2026, com lançamento previsto para um hard fork futuro. Provas de intervalo como o Bulletproofs+ provavelmente vão manter seu posto mesmo enquanto o FCMP++ reforma o lado da pertinência da privacidade.
O resumo da ópera
O Bulletproofs foi a revolução — um corte de 80% no tamanho que tornou os valores confidenciais viáveis em 2018. O Bulletproofs+ é o acabamento — um refinamento de 5% a 7% em 2022 que trocou o argumento de produto interno por uma variante ponderada, dobrou o conhecimento zero para dentro da prova e economizou bytes em cada transação sem mudar nada na sua privacidade. Entender a diferença significa que você consegue identificar o mito de marketing que chama a prova mais nova de "mais anônima": ela simplesmente não é, e nem precisa ser.
As duas provas compartilham o mesmo objetivo — garantir que ninguém falsifique XMR enquanto os valores permanecem lacrados. Essa integridade silenciosa é parte do que mantém cada moeda intercambiável. Pronto para colocar isso em prática? Você pode comprar Monero anonimamente pelo MoneroSwapper, sem conta e sem KYC, e cada saída que receber virá com a mesma prova Bulletproofs+ enxuta e testada em combate em que o resto da rede confia.
🌍 Leia em