Monero FCMP++ Explicado: O Upgrade de Privacidade 2026
Monero FCMP++ Explicado: O Upgrade de Privacidade de 2026
Toda transação Monero feita hoje esconde cada gasto entre exatamente 16 candidatos — o seu input real mais 15 chamarizes (decoys) puxados do histórico da blockchain. Esse tamanho de anel de 16 é o piso de privacidade desde a atualização de rede de agosto de 2022, e as empresas de análise de cadeia passaram anos cutucando as bordas estatísticas em torno dele. O FCMP++ joga esse teto fora. Em vez de um anel de 16, ele prova que o seu output pertence ao conjunto de todos os outputs elegíveis já criados no Monero — bem mais de 100 milhões deles até 2026. O conjunto de anonimato salta de 16 para a blockchain inteira.
Essa é a maior melhoria de privacidade da história do Monero, e ela muda a conta para todo mundo que usa a moeda — incluindo quem a adquire de forma privada por meio de um serviço sem KYC como a MoneroSwapper. Este guia explica o que é o FCMP++, como as curve trees tornam viáveis as provas sobre a cadeia inteira, o que muda na sua carteira e onde o lançamento de 2026 realmente está.
Por Que o FCMP++ Importa Agora
O modelo de chamarizes do Monero sempre foi um meio-termo engenhoso. As assinaturas em anel permitem que você assine em nome de um grupo sem revelar qual membro você é, mas os chamarizes precisam ser bem escolhidos, e um anel fixo de 16 deixa uma costura mensurável para os analistas puxarem. O FCMP++ fecha essa costura removendo os chamarizes por completo.
- O teto dos chamarizes é real: um atacante ingênuo tem 1 chance em 16 de adivinhar o gasto verdadeiro por input. Heurísticas — viés do output mais novo, correlação temporal, agrupamento de múltiplos inputs — empurram o número efetivo bem abaixo de 16 em muitos casos.
- A pressão de vigilância só cresce: a unidade de Investigação Criminal do IRS, nos EUA, ofereceu uma recompensa de US$ 625 mil por ferramentas de rastreamento de Monero lá em 2020, e empresas como Chainalysis e CipherTrace vendem desanonimização probabilística desde então. No Brasil, a Receita Federal já obriga as exchanges a reportarem operações com criptoativos pela Instrução Normativa 1.888/2019 — ou seja, a vigilância sobre quem compra e vende não é hipótese distante, é rotina. A maior parte da alavancagem dessas firmas mira exatamente as fraquezas de seleção de chamarizes que o FCMP++ elimina.
- O roadmap mudou para entregar o ganho mais cedo: em vez de esperar pela reforma completa do Seraphis e do Jamtis, a comunidade Monero priorizou o FCMP++ como uma mudança mais contida que entrega primeiro a participação na cadeia inteira. Foi o upgrade de destaque que os desenvolvedores escolheram acelerar.
O Que o FCMP++ Realmente É
FCMP++ significa Full-Chain Membership Proofs (Provas de Participação na Cadeia Inteira), com o "++" denotando um conjunto de melhorias empilhadas sobre o desenho acadêmico original. No núcleo, é uma prova de conhecimento zero que diz: "o output que estou gastando existe em algum lugar deste conjunto gigante de outputs válidos, e eu detenho a chave de gasto dele" — sem revelar qual output é esse.
Das Assinaturas em Anel à Participação na Cadeia Inteira
Hoje o Monero usa assinaturas em anel CLSAG dentro do RingCT. Cada input referencia 16 membros do anel; o protocolo prova que um deles é real e que nenhum input é gasto em dobro, usando uma key image para garantir unicidade. Os valores permanecem ocultos por trás dos compromissos de Pedersen e das provas de intervalo Bulletproofs+.
O FCMP++ mantém toda a maquinaria que esconde os valores, mas substitui o anel. Não há mais chamarizes, nem algoritmo de seleção de chamarizes, nem parâmetro de "tamanho de anel" para ficar discutindo. O conjunto de participação é a cadeia inteira. Isso significa que duas transações feitas com anos de diferença, por desconhecidos, bebem do mesmo conjunto de anonimato — um avanço enorme para a fungibilidade, porque nenhuma moeda pode ser marcada como "mais ou menos misturada" do que outra.
Curve Trees: Como uma Prova Sobre 100 Milhões de Outputs Continua Pequena
A objeção óbvia é o tamanho. Como uma prova consegue referenciar 100 milhões de outputs sem ficar enorme? A resposta é uma estrutura chamada curve trees, introduzida em trabalho acadêmico em 2022 e adaptada para o Monero por Luke "kayabaNerve" Parker.
Uma curve tree é um acumulador parecido com uma árvore de Merkle, mas cada camada é comprometida sobre uma curva elíptica diferente. A implementação do Monero usa um ciclo de duas curvas apelidadas de Selene e Helios, construído para se assentar sobre a curva Ed25519 já existente. Como as duas curvas formam um ciclo, você consegue provar de forma eficiente um caminho de uma folha (o seu output) até a raiz da árvore, em conhecimento zero, sem nenhuma cerimônia de setup confiável. O tamanho da prova cresce com a profundidade da árvore — de forma logarítmica — e não com o número de outputs. Dobrar a quantidade de outputs da cadeia praticamente não acrescenta nada à prova.
O "++": Generalized Bulletproofs e Divisores
O paper original de Full-Chain Membership Proof provava a participação, mas não era, por si só, um protocolo de transação completo. O "++" é o que o torna entregável. Ele adiciona uma camada de autorização de gasto e de vinculabilidade — a key image continua impedindo gastos em dobro — e usa dois truques de eficiência para manter a verificação tratável:
- Generalized Bulletproofs (GBP): uma extensão da família Bulletproofs+ que permite à prova comprometer e raciocinar sobre pontos de curva elíptica dentro do circuito, e não apenas sobre escalares.
- Técnicas de divisores: um método (extraído da pesquisa de Liam Eagen) para provar de forma barata, dentro de uma prova, as somas de pontos de curva elíptica — que é justamente a parte cara de percorrer uma curve tree.
O FCMP++ também melhora o sigilo futuro (forward secrecy): a forma como as chaves são estruturadas faz com que uma view key vazada revele muito menos sobre os seus gastos do que poderia revelar sob alguns desenhos alternativos.
O FCMP++ não acrescenta nenhum setup confiável. Diferentemente dos primeiros desenhos blindados de outras moedas, não há cerimônia secreta de "lixo tóxico" que pudesse comprometer o supply caso vazasse — a abordagem da curve tree é transparente por construção.
FCMP++ vs. o RingCT de Hoje
A tabela abaixo compara o protocolo que você usa hoje com o que o FCMP++ traz. O número de destaque — o conjunto de anonimato — é o que mais importa, mas as outras linhas explicam os trade-offs.
| Propriedade | RingCT + CLSAG (hoje) | FCMP++ (2026) |
|---|---|---|
| Conjunto de anonimato por input | 16 (1 real + 15 chamarizes) | Cadeia inteira (mais de 100 mi de outputs) |
| Seleção de chamarizes | Obrigatória, ajustável estatisticamente | Nenhuma — chamarizes removidos por completo |
| Tamanho da prova de participação | Escala com o tamanho do anel | Logarítmico na profundidade da árvore (quase constante) |
| Setup confiável | Não | Não |
| Ocultação de valores | Provas de intervalo Bulletproofs+ | Inalterada (provas de intervalo mantidas) |
| Proteção contra gasto duplo | Key image | Key image (mantida) |
| Custo de verificação por input | Baixo | Maior, mas otimizado para se manter prático |
Repare nas duas linhas que permanecem iguais: a ocultação de valores e a proteção contra gasto duplo. O FCMP++ é cirúrgico — ele troca o anel mantendo as partes do RingCT que já funcionam. Esse foco é exatamente o motivo pelo qual ele pode ser lançado antes do redesenho mais amplo do Seraphis.
O Que Muda para Você como Usuário
Para o usuário do dia a dia, o upgrade é, em sua maior parte, invisível, mas alguns pontos práticos valem ser conhecidos antes do fork acontecer.
- Atualize o software da sua carteira. O FCMP++ chega em uma atualização de rede (hard fork). Você precisa rodar uma versão de carteira e de nó que suporte o novo formato de transação antes da altura do fork, ou ficará impossibilitado de transacionar depois.
- Você não precisa mover suas moedas. Os outputs que você recebeu antes do fork são inseridos na curve tree e tornam-se gastáveis com participação na cadeia inteira no seu próximo gasto. Não existe transação manual de "migração" nem prazo para embaralhar fundos.
- Espere uma ressincronização ou construção da árvore feita uma única vez. Os nós completos mantêm a curve tree, então a primeira sincronização após o upgrade pode levar mais tempo enquanto a árvore é construída.
- As transações continuam autocustodiadas e sem necessidade de confiança em terceiros. Sua spend key e sua view key funcionam da mesma forma; a varredura em busca de fundos recebidos é, em princípio, inalterada.
Se você roda o seu próprio nó, planeje uma sincronização inicial mais pesada e uma carga de verificação um pouco maior. O ganho de privacidade — cada gasto se escondendo na cadeia inteira — vale os ciclos extras.
Um Exemplo Prático: Adquirir e Gastar XMR Privado
Imagine uma desenvolvedora freelancer em São Paulo que recebe em Bitcoin de clientes no exterior e quer uma reserva privada em caixa. Hoje ela troca BTC por Monero pela MoneroSwapper sem conta, recebe o XMR na própria carteira, e qualquer gasto posterior se esconde entre 16 membros do anel. Um analista determinado, com a trilha do Bitcoin levando até a troca, poderia, em princípio, aplicar heurísticas de seleção de chamarizes para estreitar as movimentações de Monero que ela faz depois.
Depois do FCMP++, esse mesmo output recebido se junta ao conjunto da cadeia inteira no instante em que entra na árvore. Quando ela o gasta semanas depois, a prova diz apenas "este é um dos mais de 100 milhões de outputs no Monero" — não há anel de 16 para atacar, não há viés do output mais novo, não há sinal temporal atrelado a uma pequena lista de candidatos. As heurísticas que renderam contratos de rastreamento a firmas como a Chainalysis simplesmente não têm mais o que mastigar.
Esse é o argumento da fungibilidade em forma concreta: as moedas dela se tornam indistinguíveis de qualquer outra moeda, independentemente de onde foram trocadas, mineradas ou ganhas. Essa propriedade é o que torna o Monero utilizável como dinheiro, e não como um livro-razão permanente e pesquisável de quem pagou quem.
O Que o FCMP++ Não Resolve
A participação na cadeia inteira é um salto enorme, mas é uma camada de uma pilha de privacidade maior, e ter expectativas honestas faz diferença. O FCMP++ blinda o lado on-chain de uma transação — ele não faz nada pela camada de rede nem por erros cometidos fora da cadeia.
- Metadados no nível da rede: a retransmissão peer-to-peer das transações continua protegida pelo Dandelion++, e não pelo FCMP++. Se você transmitir a partir de um IP fixo sem Tor ou I2P, um observador consegue correlacionar o seu nó às suas transações, por mais forte que seja a prova de participação.
- A trilha de entrada (on-ramp): se você comprar Monero com uma conta totalmente verificada por KYC, que registra a sua identidade e as moedas exatas enviadas, esse registro existe fora da cadeia para sempre. O FCMP++ protege as movimentações do XMR depois que ele chega, não o rastro de papel de como você o obteve — e é por isso que uma troca sem KYC importa.
- Erro do usuário e reuso de endereço: publicar um único endereço estático em local público, ou vincular uma carteira a uma exchange que registra tudo, ainda pode vazar contexto. Os stealth addresses já impedem o reuso de endereço on-chain, mas a disciplina operacional continua sendo responsabilidade sua.
A conclusão é que o FCMP++ torna a parte mais forte do Monero dramaticamente mais forte, enquanto os elos mais fracos continuam sendo o comportamento humano e o de rede. Combinar o upgrade com roteamento via Tor/I2P e um método de aquisição privado é o que entrega o benefício completo.
Perguntas Frequentes
FCMP++ é a mesma coisa que Seraphis e Jamtis?
Não. O Seraphis é um protocolo de transação de próxima geração proposto, e o Jamtis é o esquema de endereçamento que o acompanha. O FCMP++ é uma mudança separada e mais focada, que substitui as assinaturas em anel por provas de participação na cadeia inteira. A comunidade escolheu priorizar o FCMP++ porque ele entrega o maior ganho de privacidade como um upgrade mais contido, com Seraphis e Jamtis ainda no roadmap de mais longo prazo.
Meu Monero atual continuará privado depois do fork?
Sim, e fica mais forte. Os outputs anteriores ao fork são adicionados à curve tree e ganham participação na cadeia inteira quando você os gasta da próxima vez. Você não precisa enviar suas moedas para lugar nenhum com antecedência, e não existe momento algum em que fundos antigos se tornem ingastáveis.
O FCMP++ deixa as transações maiores ou mais lentas?
A prova de participação de cada input é maior do que um anel CLSAG, mas, crucialmente, ela não cresce com o tamanho do conjunto de anonimato — esse é exatamente o objetivo das curve trees. A verificação custa mais do que as assinaturas de hoje, embora um extenso trabalho de otimização a tenha mantido prática para nós comuns. A maioria dos usuários não vai notar diferença na velocidade da carteira.
Quando o FCMP++ realmente entra no ar?
O desenvolvimento e várias auditorias de segurança foram financiados pelo Sistema de Financiamento Comunitário (CCS) do Monero ao longo de 2024 e 2025, com testes em stagenet e testnet nesse período. Uma atualização de rede levando o FCMP++ é esperada para 2026, mas as datas de hard fork do Monero são definidas pela prontidão e pelos resultados das auditorias, e não por um calendário fixo. Acompanhe os anúncios oficiais de lançamento e rode a versão recomendada antes da altura do fork.
Preciso de um setup confiável ou de alguma cerimônia especial para isso?
Não. O FCMP++ usa curve trees e Generalized Bulletproofs, e nenhum dos dois exige setup confiável. Não há cerimônia de geração de segredos e, portanto, nenhum risco de "lixo tóxico" para o supply da moeda — a construção é transparente por design.
Conclusão
O FCMP++ é o momento em que o Monero deixa de esconder gastos numa multidão de 16 e passa a escondê-los na cadeia inteira. Ao trocar assinaturas em anel por provas de participação na cadeia inteira — alimentadas pelo ciclo de curvas Selene e Helios, pelos Generalized Bulletproofs e por técnicas de divisores — ele remove as fraquezas de seleção de chamarizes nas quais as firmas de análise de cadeia se apoiaram por anos, e tudo isso sem nenhum setup confiável. Para 2026, o conselho prático é simples: mantenha a sua carteira atualizada, espere uma primeira sincronização mais pesada e deixe o protocolo fazer o resto.
Se você quer moedas que se beneficiem desse upgrade no instante em que ele for lançado, o caminho mais limpo é adquiri-las de forma privada desde o início. Você pode comprar Monero anonimamente pela MoneroSwapper sem conta e sem KYC, enviá-lo direto para a sua própria carteira e deixar o FCMP++ dobrá-lo no conjunto de anonimato da cadeia inteira no seu próximo gasto.
🌍 Leia em