Bulletproofs+ contre Bulletproofs sur Monero : ce qui a vraiment changé

Le 13 août 2022, une mise à jour du réseau Monero a discrètement remplacé un rouage cryptographique que presque aucun utilisateur ne voit jamais, mais sur lequel tout le monde s'appuie. Bulletproofs+ a pris la place des preuves de portée Bulletproofs d'origine, en rognant encore quelques octets sur chaque transaction et en allégeant le temps de vérification des milliers de nœuds complets qui surveillent la chaîne. Si vous avez déjà fait transiter des XMR via un service sans KYC comme MoneroSwapper, votre transaction transportait l'une de ces preuves comme bagage cryptographique — la démonstration mathématique que vous ne fabriquez pas secrètement des pièces à partir de rien.

Les deux noms se ressemblent presque à la lettre, et les notes de version expliquent rarement l'écart. Bulletproofs+ est-il une amélioration de la confidentialité ? Un gain de vitesse ? Un système entièrement nouveau ? Réponse courte : il s'agit d'une optimisation d'efficacité, pas de confidentialité. Ce guide décortique ce que fait réellement chaque preuve, pourquoi Monero les a adoptées respectivement en octobre 2018 et en août 2022, et à quel point la différence concrète entre les deux compte pour une transaction ordinaire en 2026.

Pourquoi Monero a-t-il besoin de preuves de portée ?

Monero masque les montants des transactions grâce à RingCT (Ring Confidential Transactions), introduit en janvier 2017. Au lieu d'inscrire le montant en clair, chaque sortie stocke un engagement de Pedersen de la forme C = xG + aH, où a est le montant caché, x un facteur d'aveuglement aléatoire, et G et H deux générateurs fixes de la courbe elliptique. Le réseau peut vérifier que les entrées égalent les sorties sans jamais connaître les chiffres en jeu.

Ce secret crée une faille dangereuse. Si personne ne peut voir le montant, qu'est-ce qui empêche un expéditeur malveillant d'engager une valeur gigantesque qui dépasse l'ordre du groupe de la courbe — et donc de créer des XMR à partir de rien ? C'est précisément là que les preuves de portée justifient leur existence.

• Défense contre l'inflation : une preuve de portée démontre que chaque montant caché se situe dans l'intervalle valide [0, 2⁶⁴) sans révéler le chiffre. Pas de montants négatifs, pas de débordement d'entier, pas de fausse monnaie.
• Connaissance nulle (zero-knowledge) : la preuve ne laisse rien filtrer sur la valeur réelle. Le vérificateur apprend seulement « ce nombre est dans la plage », jamais le nombre lui-même.
• Aucune cérémonie de confiance : contrairement à de nombreuses constructions zk-SNARK, Bulletproofs et Bulletproofs+ ne réclament aucun rituel secret. Il n'existe aucun « déchet toxique » qui pourrait servir plus tard à forger des preuves.
• Agrégation : une seule preuve peut couvrir toutes les sorties d'une transaction d'un coup, si bien que la taille croît de façon logarithmique plutôt que linéaire à chaque nouvelle sortie.

Chaque octet consacré à ces preuves vit éternellement sur la blockchain, répliqué sur chaque nœud de la planète. Voilà pourquoi l'efficacité des preuves de portée n'est pas un détail de bas de page : elle façonne directement les frais de Monero, les temps de synchronisation et le poids de stockage sur le long terme, autant d'éléments qui soutiennent sa fongibilité.

Bulletproofs : la percée de 2018

Avant Bulletproofs, Monero utilisait des signatures en anneau de Borromean pour bâtir ses preuves de portée. Elles fonctionnaient, mais étaient catastrophiques en matière d'espace : la preuve grossissait linéairement avec le nombre de bits à prouver, et une seule transaction à deux sorties gonflait jusqu'à environ 13 Ko. Sur une chaîne axée sur la confidentialité, qui transporte déjà de lourdes données de signatures en anneau, c'était intenable.

Bulletproofs, proposé par Benedikt Bünz, Jonathan Bootle et leurs co-auteurs en 2017, a atterri sur le mainnet de Monero avec la mise à jour réseau d'octobre 2018. Le résultat fut spectaculaire. Une transaction type a rétréci d'environ 80 %, passant de quelque 13 Ko à près de 2,5 Ko, et les frais médians se sont effondrés de plus de 95 %. Cela reste l'un des plus grands gains d'efficacité de toute l'histoire de Monero.

Le fonctionnement interne de Bulletproofs

Le moteur de Bulletproofs, c'est l'argument du produit interne (inner-product argument, IPA). Le prouveur encode les bits du montant dans deux vecteurs et doit convaincre le vérificateur que leur produit interne vaut une valeur précise. Plutôt que d'envoyer les vecteurs complets, le protocole déroule plusieurs tours, en divisant par deux la longueur des vecteurs à chaque passage. Après log₂(n) tours, il ne reste qu'une poignée de points de courbe à transmettre.

Cette mise à l'échelle logarithmique, c'est toute la magie. Prouver une portée sur 64 bits ne demande qu'une preuve de quelques centaines d'octets, et agréger plusieurs sorties n'ajoute que deux ou trois éléments supplémentaires plutôt qu'une preuve entièrement neuve. Pour rendre l'argument du produit interne à connaissance nulle, le Bulletproofs classique greffe des termes d'aveuglement additionnels qui sont envoyés en plus de l'argument central.

La vérification par lots

Bulletproofs permet aussi aux nœuds de vérifier de nombreuses preuves ensemble, en une seule opération groupée, ce qui revient bien moins cher que de contrôler chacune isolément. Cela compte énormément lorsqu'un nœud complet synchronise des années d'historique ou valide un bloc fraîchement miné, bourré de transactions issues du mempool.

Bulletproofs+ contre Bulletproofs : les vraies différences

Bulletproofs+ provient d'un article de 2020 signé Heewon Chung, Kyoohyung Han, Chanyang Ju, Myungsun Kim et Jae Hong Seo. Son innovation centrale consiste à remplacer l'argument du produit interne par un argument de produit interne pondéré (weighted inner-product, WIP). Le WIP intègre l'aveuglement à connaissance nulle directement dans l'argument lui-même : le prouveur n'a donc plus besoin de transmettre les termes de masquage séparés qu'exigeait le Bulletproofs classique.

Moins d'éléments transmis, cela signifie une preuve plus petite et une vérification légèrement moins coûteuse. Dans le déploiement de Monero, Bulletproofs+ a réduit la portion « preuve de portée » d'une transaction d'environ 5 à 7 %, et a modestement accéléré la vérification. C'est un raffinement incrémental — bien loin du bond de 80 % de 2018, mais une économie gratuite qui se cumule sur des millions de transactions et sur le stockage de chaque nœud.

Point crucial : les propriétés de confidentialité sont identiques. Les deux preuves cachent les montants tout aussi bien ; toutes deux reposent sur la même portée de 64 bits et le même schéma d'engagement de Pedersen. Quiconque présente Bulletproofs+ comme « plus confidentiel » se trompe. La confidentialité provient de RingCT, des signatures en anneau et de CLSAG — la preuve de portée se contente de garantir l'honnêteté des montants.

La mise à jour d'août 2022 a fait plus que remplacer la preuve de portée. Elle a aussi introduit les view tags, qui ont accéléré l'analyse des portefeuilles d'environ 40 %, et fait passer la taille de l'anneau de 11 à 16 leurres. Bulletproofs+ a contribué à compenser le poids supplémentaire qu'ajoutaient ces anneaux plus grands, gardant les transactions légères alors même que l'ensemble d'anonymat s'élargissait.

Le parcours d'une preuve de portée dans une transaction

Il est utile de voir où ces preuves se placent dans le cycle de vie d'un paiement en XMR. Les étapes ci-dessous suivent une sortie unique, de sa création à sa confirmation.

1. Engager le montant. Votre portefeuille tire un facteur d'aveuglement aléatoire et construit l'engagement de Pedersen C = xG + aH pour chaque sortie, masquant la valeur on-chain.
2. Générer la preuve. Le portefeuille construit une preuve de portée Bulletproofs+ agrégée, unique, couvrant chaque sortie, et prouvant que chaque montant se trouve dans [0, 2⁶⁴) sans l'exposer.
3. Diffuser. La transaction signée — données de signature en anneau, image de clé, engagements et preuve de portée — se propage sur le réseau via Dandelion++ et atterrit dans le mempool.
4. Vérifier. Chaque nœud complet contrôle la preuve de portée (souvent groupée avec d'autres), confirme que les entrées équilibrent les sorties et valide les signatures en anneau avant de relayer.
5. Confirmer. Un mineur inclut la transaction dans un bloc ; après dix confirmations, les fonds sont considérés comme réglés et dépensables.

Si une seule preuve de portée échoue à la vérification, la transaction entière est rejetée — il n'existe aucune acceptation « partielle ». C'est cette règle du tout ou rien qui rend la garantie anti-inflation étanche.

Ce que la différence signifie en pratique

Pour un utilisateur normal, le passage de Bulletproofs à Bulletproofs+ a été invisible. Vous avez mis à jour votre portefeuille, et vos transactions ont simplement commencé à construire la preuve plus récente. Aucune pièce n'est devenue indépensable, aucune adresse n'a changé, et rien dans votre posture de confidentialité n'a bougé. Le bénéfice s'est joué au niveau du réseau.

Une transaction Monero standard à deux entrées et deux sorties pèse en 2026 environ 1,5 Ko et coûte une fraction de centime d'euro en priorité normale. Bulletproofs+ explique en partie pourquoi ce chiffre est resté bas, même après le passage de la taille d'anneau à 16. Multipliez l'économie de 5 à 7 % sur la preuve de portée par les millions de transactions confirmées chaque année, et vous obtenez des blocs mesurablement plus minces, une synchronisation initiale plus rapide pour les nouveaux nœuds, et une empreinte plus légère pour quiconque fait tourner Monero sur Tor avec du matériel modeste.

Cette efficacité nourrit directement l'accessibilité. Des frais plus faibles et des transactions plus petites rendent moins coûteux le démarrage d'un nœud, ce qui maintient la décentralisation du réseau. Quand vous échangez vers du XMR via MoneroSwapper et que vous retirez vers votre propre portefeuille, la preuve embarquée dans cette transaction est le même objet Bulletproofs+ épuré que produit tout autre utilisateur en 2026 — préservant la fongibilité, car une sortie d'un XMR est cryptographiquement indiscernable de la suivante.

Il faut souligner que les preuves de portée ne forment qu'une couche de la pile de confidentialité de Monero. Les autorités fiscales comme la DGFiP et les régulateurs comme l'AMF examinent de près les flux de cryptomonnaies, mais une preuve de portée ne révèle rien sur l'expéditeur, le destinataire ou le montant. Son unique mission est l'honnêteté sur l'offre, pas l'anonymat — ce travail-là est assuré ailleurs dans le protocole.

Et la fiscalité, en France ?

Une confusion fréquente mérite d'être levée : l'efficacité cryptographique de Bulletproofs+ n'a rien à voir avec vos obligations déclaratives. En France, la DGFiP impose les plus-values sur actifs numériques au moment de la cession en monnaie fiduciaire ou de l'achat d'un bien — un simple échange crypto-contre-crypto reste en report. Le fait que votre transaction Monero embarque une preuve de portée plus compacte ne change ni le montant imposable, ni l'obligation de déclarer vos comptes d'actifs numériques détenus à l'étranger via le formulaire 3916-bis.

Autrement dit, la cryptographie protège l'intégrité de l'offre et la confidentialité on-chain ; elle ne vous dispense d'aucune démarche fiscale. C'est une distinction que les régulateurs européens, dans le sillage du cadre MiCA, tiennent à rappeler. Bulletproofs+ rend le réseau plus léger ; il ne rend pas vos gains invisibles aux yeux de l'administration.

FAQ

Bulletproofs+ a-t-il rendu mes anciens Monero indépensables ?

Non. Le changement était une mise à jour au niveau du consensus, activée à une hauteur de bloc précise. Après le fork d'août 2022, les portefeuilles à jour se sont simplement mis à construire des preuves Bulletproofs+ pour les nouvelles transactions. Les pièces reçues à l'époque de l'ancien Bulletproofs se dépensent parfaitement — la preuve est générée à neuf à chaque envoi, et non stockée en permanence avec votre solde.

Bulletproofs+ est-il plus confidentiel que Bulletproofs ?

Non. Les deux cachent les montants exactement au même degré et prouvent la même portée [0, 2⁶⁴). Bulletproofs+ est une amélioration purement d'efficacité — preuves plus petites et vérification légèrement plus rapide. La vraie confidentialité de Monero vient de RingCT, des adresses furtives (stealth addresses) et des signatures en anneau CLSAG, auxquelles la preuve de portée ne touche jamais.

Dois-je faire quoi que ce soit pour utiliser Bulletproofs+ ?

Il vous suffit d'exécuter un portefeuille à jour. Les logiciels officiels de Monero, les versions GUI et CLI, ainsi que les portefeuilles tiers réputés construisent des preuves Bulletproofs+ par défaut depuis la mise à jour de 2022. Il n'y a aucun réglage à activer et aucune migration à réaliser — c'est automatique.

Pourquoi Monero n'utilise-t-il pas plutôt les zk-SNARK ?

La plupart des systèmes zk-SNARK efficaces exigent une cérémonie de confiance, qui produit des paramètres secrets susceptibles, en cas de fuite, de permettre à un attaquant de forger des preuves et de gonfler l'offre sans être détecté. Bulletproofs et Bulletproofs+ n'ont besoin d'aucune cérémonie de ce type, ce qui s'aligne sur la philosophie sans confiance (trustless) de Monero. La contrepartie : des preuves un peu plus grandes et une vérification dont le coût croît avec la taille de l'énoncé.

Qu'est-ce qui vient après Bulletproofs+ ?

Le prochain grand bond est FCMP++ (Full-Chain Membership Proofs), qui vise à remplacer les signatures en anneau par une preuve dissimulant chaque dépense au sein de la blockchain tout entière, plutôt que dans un anneau de 16 leurres. Il s'appuie sur sa propre machinerie de preuve et a fait l'objet de tests actifs tout au long de 2025-2026, en vue d'un futur hard fork. Les preuves de portée comme Bulletproofs+ conserveront probablement leur rôle, même quand FCMP++ révisera de fond en comble le volet « appartenance » de la confidentialité.

L'essentiel à retenir

Bulletproofs fut la révolution — une réduction de taille de 80 % qui a rendu les montants confidentiels viables dès 2018. Bulletproofs+ est le polissage — un raffinement de 5 à 7 % en 2022 qui a troqué l'argument du produit interne contre une variante pondérée, intégrant la connaissance nulle dans la preuve et économisant des octets sur chaque transaction, sans rien changer à votre confidentialité. Connaître la différence vous permet de repérer le mythe marketing qui qualifie la preuve la plus récente de « plus anonyme » : elle ne l'est tout simplement pas, et elle n'a pas besoin de l'être.

Les deux preuves partagent le même objectif — garantir que personne ne contrefait de XMR pendant que les montants restent scellés. Cette intégrité silencieuse fait partie de ce qui rend chaque pièce interchangeable. Prêt à passer à l'acte ? Vous pouvez acheter du Monero anonymement via MoneroSwapper, sans compte et sans KYC, et chaque sortie que vous recevrez sera livrée avec la même preuve Bulletproofs+ épurée et éprouvée à laquelle le reste du réseau fait confiance.