Atualização Monero FCMP++ Explicada: O Fim das Assinaturas em Anel

Durante quase uma década, a privacidade do Monero assentou numa peça engenhosa de matemática chamada assinatura em anel: quando gasta uma moeda, o seu input real é misturado com 15 chamarizes (decoys) retirados da blockchain, e um observador externo não consegue determinar qual é o seu. Esse tamanho de anel de 16 aguentou-se surpreendentemente bem ao longo dos anos, mas é também a superfície de ataque mais estudada do protocolo. O hard fork de 2026 muda completamente o modelo. O FCMP++ — abreviatura de Full-Chain Membership Proofs Plus Plus, ou Provas de Pertença a Toda a Cadeia Plus Plus — substitui o anel de 16 outputs por uma prova criptográfica de que o seu input pertence ao conjunto de todos os outputs gastáveis que o Monero alguma vez produziu, o que hoje ultrapassa os cem milhões. O conjunto de anonimato salta de 16 para praticamente toda a história da cadeia. Este guia explica o que o FCMP++ faz de facto, porque é que o esquema CLSAG atual precisava de ser reformado, como é que as árvores de curvas e o ciclo Helios/Selene tornam a matemática viável, e como será a experiência de trocar para XMR através de serviços como o MoneroSwapper depois de a atualização entrar em vigor.

Porque é que o CLSAG e as Assinaturas em Anel Tinham de Sair de Cena

O esquema atual de assinaturas do Monero, o CLSAG (Concise Linkable Spontaneous Anonymous Group), foi ativado em agosto de 2020 e reduziu o tamanho das transações em cerca de 25 por cento face à anterior construção MLSAG. É elegante, rápido e está testado em campo. Mas a sua premissa central — a de que um atacante não consegue distinguir o gasto real dos 15 chamarizes — sempre foi um pressuposto que se vai enfraquecendo à medida que a análise de cadeia evolui.

Várias heurísticas publicadas vão corroendo a garantia de 16 em 16. A mais citada é o ataque Eve-Alice-Eve, no qual uma entidade de vigilância controla ou observa duas transações que envolvem o mesmo alvo e usa padrões temporais, distribuições de idade dos outputs e inputs sabidamente gastos para reduzir o conjunto efetivo de anonimato. Investigadores demonstraram que, sob modelos adversariais realistas, o tamanho efetivo do anel pode descer bastante abaixo de 16 em determinadas transações. Empresas de análise de cadeia como a CipherTrace, a Chainalysis e a Integra FEC — esta última contratada pelo IRS norte-americano — afirmaram publicamente ter capacidades parciais de desanonimização, embora a precisão prática dessas alegações continue a ser debatida. Em Portugal, a Autoridade Tributária (AT) ainda não dispõe internamente de ferramentas equivalentes, mas o Banco de Portugal acompanha o tema no âmbito da implementação do regulamento MiCA.

• Conjunto de anonimato limitado: 16 inputs num registo de 100 milhões de outputs é privacidade estatística, não criptográfica.
• Viés na seleção de chamarizes: A distribuição gama usada para escolher os decoys fuga informação quando o output real é invulgarmente antigo ou invulgarmente recente.
• Ataques de bolas de gude pretas (black marble): Um adversário que controle uma fração grande dos outputs recém-criados pode envenenar anéis futuros, sabendo quais dos 16 lhe pertencem.
• Pressuposto de conjunto fechado: Se o padrão de gastos de uma carteira for previsível, o conjunto efetivo encolhe mesmo que o conjunto criptográfico não o faça.

O FCMP++ elimina por completo o modelo dos chamarizes. Deixa de haver anel. Deixa de haver algoritmo de seleção a poder ser enviesado. Em vez disso, quem gasta produz uma prova de conhecimento zero que demonstra que o input a ser gasto é um dos outputs num compromisso (commitment) em árvore de Merkle sobre toda a cadeia — e essa prova não revela nada sobre qual deles é.

Como Funcionam Realmente as Provas de Pertença a Toda a Cadeia

O desafio criptográfico do FCMP++ é brutal: provar a pertença a um conjunto de mais de 100 milhões de elementos, fazê-lo em menos de um kilobyte, e verificar a prova em milissegundos num portátil comum. O Monero Research Lab resolveu o problema empilhando três primitivas — árvores de curvas, o ciclo Helios/Selene e os Bulletproofs+ — numa única prova composta. O resultado é uma assinatura aproximadamente do tamanho do CLSAG atual, com um conjunto de anonimato seis ordens de grandeza maior.

Árvores de Curvas: Árvores de Merkle para Pontos de Curvas Elípticas

Uma árvore de curvas, introduzida por Campanelli, Hall-Andersen e Kamp em 2022, é uma árvore de Merkle cujos nós internos são compromissos de curva elíptica em vez de meros hashes. As folhas contêm chaves públicas de outputs e compromissos de valor; cada ramo combina os filhos usando um compromisso de Pedersen sobre uma curva elíptica emparelhada. Como os compromissos são homomórficos, é possível provar que uma folha oculta se encontra num determinado caminho sem revelar nem a folha nem o caminho. A árvore do Monero tem cerca de 25 camadas de profundidade ao tamanho atual da cadeia, e o seu reequilíbrio acontece como parte do consenso.

O Ciclo de Curvas Helios e Selene

As árvores de curvas precisam de duas curvas elípticas que encaixem aritmeticamente uma na outra — o corpo base de uma curva é o corpo escalar da outra. O Monero Research Lab decidiu-se por um novo par chamado Helios e Selene, desenhado em 2024 especificamente com este objetivo. Foi escolhido em detrimento de alternativas como o ciclo Pasta (utilizado na Mina) porque oferece melhor aritmética em tempo constante em Rust e C++ e convive bem com as chaves Ed25519 que o Monero já utiliza. Crucialmente, os outputs existentes não precisam de ser migrados para as novas curvas; o sistema de provas faz a ponte entre Ed25519 e Helios na camada das folhas.

Bulletproofs+ para Intervalos e Composição

As provas de intervalo (que demonstram que o valor do output é não-negativo sem o revelar) continuam a apoiar-se nos Bulletproofs+, a mesma primitiva utilizada desde o fork de novembro de 2022. O FCMP++ estende os BP+ para também provarem a afirmação composta: «Conheço a abertura de uma folha em alguma posição da árvore de curvas, e essa folha compromete-se com um output que me pertence, e ainda não o gastei». A prova resultante ronda os 3 KB antes da agregação e verifica-se em menos de 50 milissegundos num CPU moderno, segundo os benchmarks publicados por Luke «Kayaba» Parker na implementação de referência.

O Que Muda para Utilizadores e Operadores de Carteiras

Para o utilizador comum de Monero, o dia em que o FCMP++ é ativado será surpreendentemente banal. A sua carteira sincroniza, os seus subendereços continuam a funcionar, a sua seed phrase mantém-se válida. A mudança é invisível na interface mas profunda por baixo. Em baixo fica uma comparação lado a lado das diferenças práticas.

As taxas de transação vão subir moderadamente — estimativas iniciais apontam para 1,8x a 2,5x a taxa mínima atual por kilobyte — porque as provas são maiores. Contudo, o mecanismo dinâmico de tamanho de bloco absorve a maior parte do impacto, e a emissão de cauda (tail emission) mantém a receita dos mineiros estável. O Monero Research Lab publicou uma calculadora que estima que um utilizador típico vai pagar mais dois a quatro cêntimos de euro por transação.

«O FCMP++ é a maior atualização de privacidade da história do Monero. Estamos a passar de "provavelmente anónimo entre 16" para "demonstravelmente anónimo entre toda a gente que alguma vez usou a cadeia".» — Justin Berman, contribuidor do MRL, na MoneroKon 2025

Passo a Passo: Como Preparar-se para o Hard Fork do FCMP++

O hard fork está agendado provisoriamente para o final de 2026, dependendo da auditoria final e da revisão do código. Eis o que cada utilizador de Monero deve fazer para estar pronto, quer faça auto-custódia, opere um nó ou troque para XMR através de um serviço.

1. Atualize o software da sua carteira pelo menos uma semana antes do fork. Acompanhe a página oficial de releases do monero-project no GitHub para o salto da versão 0.19 para a 0.20 que traz o suporte ao FCMP++. As carteiras antigas vão simplesmente deixar de conseguir difundir transações válidas a partir da altura (block height) do fork.
2. Se gere um nó, planeie uma ressincronização inicial da árvore de curvas. A primeira sincronização após o fork reconstrói o compromisso de pertença desde o bloco génese. Reserve 4 a 8 horas de tempo de CPU em hardware doméstico. Os nós podados (pruned) são suportados mas demoram cerca de 30 por cento mais.
3. Mova fundos das hardware wallets que ainda não tenham lançado atualizações de firmware. A Trezor comprometeu-se a ter suporte desde o primeiro dia. Os utilizadores de Ledger devem contar com uma espera mais longa — historicamente a Ledger atrasa-se 6 a 12 meses face aos forks do Monero. Se não pode esperar, transfira os fundos para uma carteira quente a correr o CLI mais recente antes do fork.
4. Verifique a prontidão da sua pool de mineração se minerar. O P2Pool e as principais pools centralizadas (SupportXMR, Nanopool, sucessores da MineXMR) já sinalizaram apoio à atualização. Os mineiros solo devem recompilar o nó a partir do código-fonte oficial assim que sair a etiqueta de release.
5. Se usa uma exchange ou um serviço de troca, confirme o suporte ao fork com antecedência. Plataformas de troca sem KYC com boa reputação — incluindo o MoneroSwapper, que agrega liquidez de várias exchanges — têm historicamente apoiado os forks do Monero poucas horas após a ativação. Verifique a página de estado do serviço no dia do fork se tencionar fazer uma troca.
6. Faça uma cópia de segurança da sua seed antes de qualquer atualização significativa. A Polyseed e o mnemónico tradicional de 25 palavras continuam ambos válidos após o fork; não é necessária qualquer migração de chaves. Mas as atualizações são uma excelente desculpa para confirmar que as suas cópias de segurança ainda restauram corretamente.

Exemplo Prático: Uma Troca Sem KYC Antes e Depois do Fork

Imagine um fluxo de trabalho do mundo real. A Alice, em Lisboa, recebe um pagamento freelance de 0,04 BTC e quer convertê-lo em XMR para uma compra de hardware a um vendedor que só aceita Monero. Antes do FCMP++, o seu fluxo no MoneroSwapper é o seguinte: cola o seu subendereço Monero, recebe um endereço único de depósito em BTC, envia, e em cerca de 30 minutos o XMR chega-lhe à carteira. A transação que liga o seu input à cadeia mais ampla é protegida por um anel de 16 — forte, mas não invulnerável face a um adversário decidido que observe ambas as pontas.

Depois de o FCMP++ ser ativado, a mesma troca completa-se pela mesma interface, mas a transação subjacente que o serviço de troca difunde em nome da Alice carrega uma prova de que o seu output podia ser qualquer um dos mais de 100 milhões de outputs presentes na cadeia. Mesmo que uma empresa de análise de cadeia correlacione o depósito de BTC com a Alice e observe a saída de XMR, não consegue ligar o output específico da Alice ao eventual gasto pelo vendedor de hardware — a prova criptográfica de pertença não revela nada sobre qual a folha da árvore de curvas que foi efetivamente gasta. A experiência do utilizador é idêntica; a garantia de privacidade é qualitativamente diferente.

O contexto regional importa. Portugal ainda não impõe KYC em trocas peer-to-peer de criptoativos abaixo de 1.000 euros, e o enquadramento MiCA da UE, em vigor pleno desde dezembro de 2024, isenta explicitamente as transferências de carteira para carteira não-custodiais da regra de viagem (travel rule). O FCMP++ não muda nada sobre o estatuto regulatório — muda o que um adversário pode provar a partir dos dados da cadeia depois do facto. Para utilizadores em jurisdições onde a vigilância financeira é mais agressiva, a atualização aproxima-se de algo existencial.

O Roteiro: FCMP++, Seraphis e Carrot

O FCMP++ não é o fim da estrada da privacidade do Monero; é uma pedra no caminho. A próxima grande proposta, Seraphis, redesenha o protocolo de transação a partir do zero e combina-se naturalmente com um novo esquema de endereçamento chamado Jamtis (e a sua prima mais leve, Carrot, proposta pelo utilizador jeffro256 em 2024). O Seraphis traz suporte nativo a multiassinatura, varrimento (scanning) mais pequeno baseado em view tags, e melhor sigilo prospetivo para carteiras só de visualização.

A ordem das operações é importante. Ao lançar primeiro o FCMP++ como uma atualização contida ao esquema de assinaturas, o Monero Research Lab ganha tempo para finalizar o Seraphis sem ter de meter duas mudanças grandes num só fork. O paralelo histórico é o caminho do MLSAG para o CLSAG em 2020, que chegou 18 meses antes da atualização para Bulletproofs+. Não se espera a ativação do Seraphis antes de 2027, e só depois de a base de código do FCMP++ ter passado pelo menos um ciclo completo de release em produção.

Existe também a questão paralela da segurança pós-quântica. Nem o CLSAG nem o FCMP++ são seguros pós-quanticamente na sua forma atual — ambos dependem do pressuposto do logaritmo discreto em curvas elípticas. Um adversário quântico com um computador tolerante a falhas suficientemente grande poderia, em princípio, quebrar qualquer um dos sistemas retroativamente. O MRL já iniciou investigação em substituições baseadas em retículos (lattice-based), mas um Monero pós-quântico pronto para produção é provavelmente um projeto para a década de 2030. O FCMP++ compra fôlego contra os adversários de hoje; a resistência quântica é um item separado no roteiro.

FAQ

Quando exatamente é ativado o FCMP++ na mainnet?

Em meados de 2026, a altura-alvo de ativação está agendada provisoriamente para a janela de outubro–novembro, dependendo da conclusão de duas auditorias de código independentes (uma financiada pelo Monero Community Crowdfunding System, outra por uma empresa externa ainda não anunciada publicamente) e de uma execução bem-sucedida na testnet com pelo menos 90 dias de duração. O Monero Research Lab tem dado de forma consistente prioridade à correção sobre o calendário, pelo que um adiamento para o início de 2027 é plausível. Acompanhe o repositório do monero-project à espera da etiqueta da versão 0.20, que será o sinal canónico.

Tenho de fazer alguma coisa com o meu XMR atual antes do fork?

Não. Os seus outputs atuais, os subendereços e a seed permanecem válidos. A árvore de curvas é construída a partir de todos os outputs gastáveis na altura do fork, pelo que as moedas que detinha antes ficam automaticamente incluídas no novo conjunto de anonimato. Não há transação de migração, nem troca de token, nem risco de perder fundos por simplesmente atravessar o fork. A única ressalva é manter o software da carteira atualizado para poder gastar após a atualização.

As hardware wallets vão continuar a funcionar?

A Trezor comprometeu-se com suporte desde o primeiro dia, com firmware em desenvolvimento ativo que já foi testado na testnet do FCMP++. A Ledger historicamente demora mais — o intervalo entre os forks do Monero e o suporte da Ledger andou em média entre os 6 e os 12 meses em atualizações anteriores. Se depende da Ledger, planeie aceitar um atraso na capacidade de gastar ou transferir temporariamente os fundos para a carteira oficial de linha de comando (CLI), que tem sempre suporte de primeira classe à versão mais recente do protocolo.

O FCMP++ torna o Monero seguro pós-quanticamente?

Não. O FCMP++ melhora o conjunto de anonimato contra a análise clássica de cadeia, mas herda a dependência existente do Monero face ao problema do logaritmo discreto em curvas elípticas. Um futuro computador quântico de escala suficiente conseguiria, em teoria, quebrar as assinaturas subjacentes. O Monero pós-quântico é um projeto de investigação separado e de prazo mais longo. O Monero Research Lab discutiu candidatos baseados em retículos e em isogenias, mas nenhum está perto de pronto para produção.

Como é que isto afeta as taxas de transação?

As estimativas iniciais sugerem que as taxas base vão subir entre 1,8x e 2,5x porque as provas são maiores do que as assinaturas CLSAG. Em termos absolutos, uma transação típica de 2 inputs e 2 outputs que custa hoje cerca de um cêntimo de euro custará dois a quatro cêntimos após o fork. Os mecanismos de tamanho dinâmico do bloco e a emissão de cauda amortecem o impacto, e as taxas agregadas por kilobyte de dados úteis continuam entre as mais baixas de qualquer moeda de privacidade.

Posso trocar para XMR de forma anónima durante ou logo após o fork?

Sim, desde que o serviço de troca que utiliza apoie a atualização. O MoneroSwapper e outros agregadores sem KYC costumam suspender depósitos novos de Monero durante algumas horas em torno da altura do fork, para permitir que os operadores de nós atualizem, retomando depois a operação normal. Os fundos enviados para um endereço de depósito antes da pausa são processados assim que os nós recuperam. Não há risco de perda de fundos, mas pode haver uma breve janela de confirmações atrasadas. Planeie trocas de montante elevado bem antes ou bem depois da janela do fork para a experiência mais suave.

Conclusão

O FCMP++ é o tipo de atualização que justifica a reputação do Monero como a moeda de privacidade mais ativamente investigada em produção. Substitui um pressuposto com uma década — o de que 16 chamarizes chegavam — por uma garantia criptográfica ligada à totalidade da cadeia. A matemática é difícil, as auditorias ainda decorrem, e o lançamento não vai ser instantâneo nem indolor, mas o destino é um Monero em que o conjunto de anonimato deixa de ser um parâmetro a sintonizar e a enfraquecer ao longo do tempo. Para quem depende de dinheiro privado, seja por razões legítimas de negócio, por privacidade financeira pessoal ou por operar em jurisdições em que a vigilância é a regra, esse destino vale a espera. Quando o fork chegar, trocar para XMR através do MoneroSwapper vai funcionar exatamente como funciona hoje — só que a privacidade subjacente passa a ser qualitativamente mais forte. Adicione a página aos favoritos, fique atento à versão 0.20, e atualize a sua carteira antes da altura do fork.