Monero Bulletproofs+ vs Bulletproofs: Guida 2026

MoneroSwapper · Pubblicato: May 27, 2026 · Aggiornato: May 31, 2026 · 11 min read · 11 views

Monero Bulletproofs+ vs Bulletproofs: cosa è cambiato davvero

Il 13 agosto 2022 un aggiornamento della rete Monero ha sostituito in sordina un pezzo di crittografia che quasi nessun utente vede mai, ma su cui tutti fanno affidamento. Bulletproofs+ ha preso il posto delle range proof originali di Bulletproofs, limando altri byte da ogni transazione e riducendo i tempi di verifica per le migliaia di full node che sorvegliano la catena. Se hai mai spostato XMR attraverso un servizio no-KYC come MoneroSwapper, la tua transazione portava con sé una di queste prove come bagaglio crittografico: la dimostrazione matematica che non stai segretamente coniando monete dal nulla.

I due nomi suonano quasi identici e le note di rilascio raramente spiegano la differenza. Bulletproofs+ è un upgrade di privacy? Di velocità? Un sistema completamente nuovo? Risposta breve: è un miglioramento di efficienza, non di privacy. Questa guida scompone cosa fa davvero ciascuna prova, perché Monero le ha adottate rispettivamente nell'ottobre 2018 e nell'agosto 2022, e quanto conta la differenza pratica tra le due per una normale transazione nel 2026.

Perché Monero ha bisogno delle range proof

Monero nasconde gli importi delle transazioni usando RingCT (Ring Confidential Transactions), introdotto a gennaio 2017. Invece di scrivere la cifra in chiaro, ogni output memorizza un impegno di Pedersen nella forma C = xG + aH, dove a è l'importo nascosto, x è un fattore di accecamento casuale, e G e H sono generatori fissi su curva ellittica. La rete può verificare che gli input siano uguali agli output senza mai conoscere i numeri coinvolti.

Quella segretezza apre però una falla pericolosa. Se nessuno può vedere l'importo, cosa impedisce a un mittente malevolo di impegnarsi su un valore gigantesco che "avvolge" l'ordine del gruppo della curva, creando di fatto XMR dal nulla? È qui che le range proof si guadagnano lo stipendio.

Difesa dall'inflazione: una range proof dimostra che ogni importo nascosto rientra nell'intervallo valido [0, 2⁶⁴) senza rivelare la cifra. Niente importi negativi, niente overflow di interi, niente monete contraffatte.
Conoscenza zero: la prova non lascia trapelare nulla sul valore reale. Chi verifica apprende soltanto "questo numero è nell'intervallo", mai il numero in sé.
Nessun trusted setup: a differenza di molte costruzioni zk-SNARK, Bulletproofs e Bulletproofs+ non richiedono alcuna cerimonia segreta. Non esiste "scoria tossica" che in futuro possa essere usata per falsificare prove.
Aggregazione: una singola prova può coprire tutti gli output di una transazione in una volta, così la dimensione cresce solo in modo logaritmico invece che lineare a ogni nuovo output.

Ogni byte speso per queste prove resta sulla blockchain per sempre, replicato su ogni nodo del pianeta. Per questo l'efficienza delle range proof non è una nota a piè di pagina: incide direttamente su commissioni, tempi di sincronizzazione e carico di archiviazione a lungo termine di Monero, tutti elementi che sostengono la sua fungibilità.

Bulletproofs: la svolta del 2018

Prima di Bulletproofs, Monero costruiva le sue range proof con le firme ad anello di Borromean. Funzionavano, ma erano brutali in termini di spazio: la prova cresceva linearmente con il numero di bit da dimostrare, e una singola transazione a due output si gonfiava fino a circa 13 KB. Su una catena orientata alla privacy, già appesantita dai dati delle firme ad anello, era insostenibile.

Bulletproofs, proposta da Benedikt Bünz, Jonathan Bootle e altri coautori nel 2017, è arrivata sulla mainnet di Monero con l'aggiornamento di rete dell'ottobre 2018. Il risultato fu clamoroso. Una transazione tipica si è ridotta di circa l'80%, scendendo da ~13 KB a circa 2,5 KB, e le commissioni mediane sono crollate di oltre il 95%. Resta uno dei singoli guadagni di efficienza più grandi nella storia di Monero.

Come funziona Bulletproofs sotto il cofano

Il motore dentro Bulletproofs è l'argomento del prodotto interno (inner-product argument, IPA). Chi costruisce la prova codifica i bit dell'importo in due vettori e deve convincere chi verifica che il loro prodotto interno sia uguale a un valore specifico. Invece di inviare i vettori completi, il protocollo esegue diversi round, dimezzando ogni volta la lunghezza dei vettori. Dopo log₂(n) round, restano da trasmettere solo una manciata di punti sulla curva.

È quella scalabilità logaritmica la magia. Dimostrare un intervallo a 64 bit richiede una prova di poche centinaia di byte, e aggregare più output aggiunge solo un paio di elementi extra anziché un'intera prova nuova. Per rendere l'argomento del prodotto interno a conoscenza zero, la versione classica di Bulletproofs aggiunge termini di accecamento supplementari che vengono inviati insieme all'argomento principale.

Verifica in batch

Bulletproofs permette inoltre ai nodi di verificare molte prove insieme in un'unica operazione batch, molto più economica del controllare ciascuna isolatamente. Conta enormemente quando un full node sincronizza anni di storia o convalida un blocco appena minato, zeppo di transazioni prelevate dalla mempool.

Bulletproofs+ vs Bulletproofs: le differenze reali

Bulletproofs+ nasce da un articolo del 2020 firmato da Heewon Chung, Kyoohyung Han, Chanyang Ju, Myungsun Kim e Jae Hong Seo. La sua innovazione centrale è la sostituzione dell'argomento del prodotto interno con un argomento del prodotto interno pesato (weighted inner-product, WIP). Il WIP incorpora l'accecamento a conoscenza zero direttamente nell'argomento stesso, così chi costruisce la prova non deve più trasmettere i termini di mascheramento separati che la versione classica richiedeva.

Meno elementi trasmessi significano una prova più piccola e una verifica leggermente più economica. Nella sua implementazione su Monero, Bulletproofs+ ha tagliato la porzione di range proof di una transazione di circa il 5–7% e ha velocizzato modestamente la verifica. È un affinamento incrementale, niente a che vedere con il balzo dell'80% del 2018, ma un risparmio gratuito che si moltiplica su milioni di transazioni e sull'archiviazione di ogni nodo.

Fatto cruciale: le proprietà di privacy sono identiche. Entrambe le prove nascondono gli importi allo stesso modo, entrambe si basano sullo stesso intervallo a 64 bit e sullo stesso schema di impegno di Pedersen. Chiunque pubblicizzi Bulletproofs+ come "più privata" si sbaglia. La privacy arriva da RingCT, dalle firme ad anello e da CLSAG; la range proof garantisce soltanto l'onestà degli importi.

Proprietà	Bulletproofs (2018)	Bulletproofs+ (2022)
Attivazione su Monero	Ottobre 2018 (v8)	Agosto 2022 (v15)
Argomento centrale	Prodotto interno	Prodotto interno pesato
Accecamento a conoscenza zero	Termini extra inviati a parte	Incorporato nell'argomento
Dimensione prova vs predecessore	~80% più piccola di Borromean	~5–7% più piccola di Bulletproofs
Velocità di verifica	Veloce, batch-abile	Leggermente più veloce, batch-abile
Trusted setup	Nessuno	Nessuno
Intervallo dimostrato	[0, 2⁶⁴)	[0, 2⁶⁴)
Impatto sulla privacy	Nasconde gli importi	Identico — solo efficienza

L'aggiornamento dell'agosto 2022 ha fatto più che sostituire la range proof. Ha portato anche le view tag, che hanno accelerato la scansione del wallet di circa il 40%, e ha alzato la dimensione dell'anello da 11 a 16 esche. Bulletproofs+ ha contribuito a compensare il peso aggiuntivo introdotto da quegli anelli più grandi, mantenendo le transazioni snelle anche mentre l'insieme di anonimato cresceva.

Come una range proof attraversa una transazione

Aiuta vedere dove queste prove si collocano nel ciclo di vita di un pagamento in XMR. I passaggi qui sotto seguono un singolo output dalla creazione alla conferma.

Impegna l'importo. Il wallet sceglie un fattore di accecamento casuale e costruisce l'impegno di Pedersen C = xG + aH per ogni output, nascondendo il valore sulla catena.
Genera la prova. Il wallet costruisce un'unica range proof Bulletproofs+ aggregata che copre tutti gli output, dimostrando che ciascun importo cade in [0, 2⁶⁴) senza esporlo.
Diffondi. La transazione firmata — dati della firma ad anello, key image, impegni e range proof — si propaga nella rete tramite Dandelion++ e finisce nella mempool.
Verifica. Ogni full node controlla la range proof (spesso in batch con altre), conferma che gli input bilancino gli output e convalida le firme ad anello prima di rilanciarla.
Conferma. Un miner include la transazione in un blocco; dopo dieci conferme i fondi sono considerati regolati e spendibili.

Se una singola range proof fallisce la verifica, l'intera transazione viene rifiutata: non esiste un'accettazione "parziale". È proprio questa regola tutto-o-niente a rendere ermetica la garanzia contro l'inflazione.

Cosa significa la differenza nella pratica

Per un utente normale, il passaggio da Bulletproofs a Bulletproofs+ è stato invisibile. Hai aggiornato il wallet e le tue transazioni hanno semplicemente iniziato a costruire la prova più recente. Nessuna moneta è diventata inspendibile, nessun indirizzo è cambiato e nulla nella tua postura di privacy si è spostato. Il vantaggio è atterrato a livello di rete.

Una transazione Monero standard a due input e due output nel 2026 pesa circa 1,5 KB e costa una frazione di centesimo a priorità normale. Bulletproofs+ è una delle ragioni per cui quella cifra è rimasta bassa anche dopo il salto della dimensione dell'anello a 16. Moltiplica il risparmio del 5–7% sulla range proof per i milioni di transazioni confermate ogni anno e ottieni blocchi sensibilmente più snelli, sincronizzazione iniziale più rapida per i nuovi nodi e un'impronta più leggera per chi fa girare Monero su Tor con hardware modesto.

Quell'efficienza si traduce direttamente in accessibilità. Commissioni più basse e transazioni più piccole rendono meno costoso avviare un nodo, e questo mantiene la rete decentralizzata. Quando scambi in XMR tramite MoneroSwapper e prelevi sul tuo wallet, la prova che viaggia dentro quella transazione è lo stesso snello oggetto Bulletproofs+ che produce ogni altro utente del 2026, preservando la fungibilità: un output di XMR è crittograficamente indistinguibile dal successivo.

Vale la pena ricordare che le range proof sono solo uno strato dello stack di privacy di Monero. Autorità fiscali come l'Agenzia delle Entrate e organismi di vigilanza come la CONSOB esaminano i flussi cripto, ma una range proof non rivela nulla su mittente, destinatario o importo. Il suo unico compito è l'onestà sull'offerta, non l'anonimato: quel lavoro è affidato altrove nel protocollo.

Cosa cambia per chi usa XMR in Italia

Dal punto di vista normativo, in Italia il regime cripto è regolato dall'Agenzia delle Entrate, che dal 2023 inquadra le plusvalenze da cripto-attività con una soglia di esenzione e un'aliquota dedicata, mentre la CONSOB e la Banca d'Italia vigilano sui servizi nel quadro europeo del regolamento MiCA. Nessuno di questi obblighi però cambia ciò che una range proof fa: la prova continua a non comunicare importi a nessun terzo, perché il suo scopo è esclusivamente tecnico.

In pratica, per un residente italiano la transizione a Bulletproofs+ non ha introdotto alcun nuovo adempimento: chi dichiara correttamente le proprie cripto-attività lo fa sulla base dei saldi e delle operazioni, non sui dettagli crittografici delle prove. La lezione utile è un'altra: Bulletproofs+ rende le transazioni più leggere ed economiche, quindi rende più sostenibile far girare un nodo anche da casa, contribuendo a una rete più distribuita e meno dipendente da pochi grandi operatori.

Domande frequenti

Bulletproofs+ ha reso inspendibili i miei vecchi Monero?

No. La modifica è stata un aggiornamento a livello di consenso, attivato a una specifica altezza di blocco. Dopo il fork dell'agosto 2022, i wallet aggiornati hanno semplicemente iniziato a costruire prove Bulletproofs+ per le nuove transazioni. Le monete ricevute nell'era delle vecchie Bulletproofs si spendono perfettamente: la prova viene generata da zero ogni volta che invii, non è archiviata in modo permanente insieme al tuo saldo.

Bulletproofs+ è più privata di Bulletproofs?

No. Entrambe nascondono gli importi esattamente nello stesso grado e dimostrano l'identico intervallo [0, 2⁶⁴). Bulletproofs+ è puramente un miglioramento di efficienza: prove più piccole e verifica leggermente più rapida. La privacy reale di Monero arriva da RingCT, dagli stealth address e dalle firme ad anello CLSAG, nessuno dei quali viene toccato dalla range proof.

Devo fare qualcosa per usare Bulletproofs+?

Basta usare un wallet aggiornato. Il software ufficiale di Monero, la GUI e la CLI, e i wallet di terze parti affidabili costruiscono prove Bulletproofs+ in modo predefinito fin dall'aggiornamento del 2022. Non c'è alcuna impostazione da attivare e nessuna migrazione da eseguire: è automatico.

Perché Monero non usa invece gli zk-SNARK?

La maggior parte dei sistemi zk-SNARK efficienti richiede una cerimonia di trusted setup, che produce parametri segreti i quali, se trapelassero, potrebbero permettere a un attaccante di falsificare prove e gonfiare l'offerta senza essere scoperto. Bulletproofs e Bulletproofs+ non hanno bisogno di alcuna cerimonia, in linea con la filosofia trustless di Monero. Il compromesso è rappresentato da prove leggermente più grandi e da una verifica che cresce con la dimensione dell'enunciato.

Cosa viene dopo Bulletproofs+?

Il prossimo grande balzo è FCMP++ (Full-Chain Membership Proofs), che punta a sostituire le firme ad anello con una prova che nasconde ogni spesa all'interno dell'intera blockchain anziché di un anello di 16 esche. Usa un proprio apparato di proving ed è stato in test attivo per tutto il 2025–2026, in vista di un futuro hard fork. Le range proof come Bulletproofs+ manterranno con tutta probabilità il loro ruolo anche mentre FCMP++ rivoluziona il lato dell'appartenenza nella privacy.

In sintesi

Bulletproofs è stata la rivoluzione: un taglio di dimensione dell'80% che ha reso pratici gli importi confidenziali nel 2018. Bulletproofs+ è la rifinitura: un affinamento del 5–7% nel 2022 che ha sostituito l'argomento del prodotto interno con una variante pesata, incorporando la conoscenza zero nella prova e risparmiando byte su ogni transazione senza cambiare nulla della tua privacy. Conoscere la differenza significa saper riconoscere il mito di marketing che chiama la prova più recente "più anonima": semplicemente non lo è, e non ha bisogno di esserlo.

Entrambe le prove condividono lo stesso obiettivo: garantire che nessuno contraffaccia XMR mentre gli importi restano sigillati. Quella integrità silenziosa è parte di ciò che mantiene ogni moneta interscambiabile. Pronto a metterla in pratica? Puoi comprare Monero in modo anonimo tramite MoneroSwapper senza account e senza KYC, e ogni output che ricevi viaggerà con la stessa snella e collaudata prova Bulletproofs+ di cui si fida tutto il resto della rete.

🌍 Leggi in

English Español Português Русский Deutsch Italiano Français Indonesia Tiếng Việt 한국어 日本語 ไทย हिन्दी العربية 中文 Türkçe Melayu فارسی Filipino עברית

Condividi questo articolo