Обновление Monero FCMP++: конец кольцевых подписей

Почти десять лет конфиденциальность Monero держалась на изящной математической конструкции под названием кольцевая подпись: когда вы тратите монету, ваш реальный вход смешивается с 15 ложными, взятыми из цепи, и сторонний наблюдатель не может определить, какой именно ваш. Размер кольца в 16 элементов удивительно хорошо выдержал испытание временем, но именно он остаётся самой изученной поверхностью атаки в протоколе. Хардфорк 2026 года меняет всю модель целиком. FCMP++ — сокращение от Full-Chain Membership Proofs Plus Plus — заменяет кольцо из 16 выходов криптографическим доказательством того, что ваш вход принадлежит множеству всех тратимых выходов, когда-либо созданных в Monero, а это сегодня уже свыше ста миллионов. Анонимный набор вырастает с 16 до фактически всей истории цепи. В этом руководстве разбираемся, что именно делает FCMP++, почему действующую схему CLSAG пришло время отправить на пенсию, как curve trees и пара кривых Helios/Selene делают математику посильной, и как будет выглядеть обмен в XMR через сервисы вроде MoneroSwapper после активации обновления.

Почему CLSAG и кольцевым подписям пора уходить

Действующая схема подписей Monero — CLSAG (Concise Linkable Spontaneous Anonymous Group) — была активирована в августе 2020 года и сократила размер транзакции примерно на 25 процентов по сравнению с предыдущей конструкцией MLSAG. Она элегантна, быстра и проверена временем. Но её ключевая посылка — что атакующий не способен отличить настоящую трату от 15 ложных — всегда оставалась допущением, которое слабеет по мере совершенствования анализа цепей.

Целый ряд опубликованных эвристик подтачивает гарантию «16 из 16». Самой цитируемой остаётся атака Eve-Alice-Eve, в которой структура наблюдения контролирует или отслеживает две транзакции с участием одной и той же цели и за счёт временны́х закономерностей, распределения возраста выходов и известных потраченных входов сужает эффективный анонимный набор. Исследователи показали, что при реалистичных моделях противника эффективный размер кольца для отдельных транзакций может опускаться значительно ниже 16. Компании, специализирующиеся на блокчейн-аналитике, такие как Chainalysis и CipherTrace, неоднократно публично заявляли о возможностях частичной деанонимизации, хотя практическая точность этих заявлений по-прежнему остаётся предметом споров.

• Ограниченный анонимный набор: 16 входов на блокчейн в 100 миллионов выходов — это статистическая, а не криптографическая приватность.
• Смещение при выборе ложных входов: гамма-распределение, по которому подбираются децой, выдаёт информацию, когда настоящий выход слишком старый или слишком свежий.
• Атаки «чёрных шаров» (black marble): противник, контролирующий значительную долю свежесозданных выходов, может отравлять будущие кольца, заранее зная, какие из 16 принадлежат ему.
• Предсказуемое поведение кошелька: если паттерн трат пользователя предсказуем, эффективный набор сжимается даже без сжатия криптографического.

FCMP++ убирает саму модель децоев. Никакого кольца. Никакого алгоритма отбора, который можно сместить. Вместо этого отправитель формирует доказательство с нулевым разглашением, что тратимый вход — один из выходов в обязательстве (commitment) в виде дерева Меркла, построенном по всей цепи, и это доказательство не раскрывает, какой именно.

Как на самом деле работают полноцепочечные доказательства членства

Криптографическая задача FCMP++ по-настоящему жёсткая: доказать членство в множестве из более чем 100 миллионов элементов, уложиться в размер меньше килобайта и верифицировать всё это за миллисекунды на ноутбуке. Исследовательская лаборатория Monero (MRL) решила её, собрав в единое составное доказательство три примитива — curve trees, цикл кривых Helios/Selene и Bulletproofs+. На выходе — подпись примерно того же размера, что и текущая CLSAG, при анонимном наборе, который на шесть порядков больше.

Curve trees: деревья Меркла для точек эллиптической кривой

Curve tree, представленное Кампанелли, Холлом-Андерсеном и Кампом в 2022 году, — это дерево Меркла, во внутренних узлах которого вместо обычных хэшей лежат обязательства на эллиптической кривой. Листья содержат публичные ключи выходов и обязательства на сумму; каждая ветка комбинирует своих потомков через обязательство Педерсена на парной эллиптической кривой. Поскольку обязательства гомоморфны, можно доказать, что скрытый лист лежит на заданном пути, не раскрывая ни сам лист, ни путь. Дерево для Monero при текущем размере цепи получается глубиной около 25 уровней, и его перебалансировка входит в правила консенсуса.

Цикл кривых Helios и Selene

Curve trees требуют двух эллиптических кривых, арифметически «вложенных» друг в друга — базовое поле одной является скалярным полем другой. MRL остановилась на новой паре под названием Helios и Selene, спроектированной в 2024 году именно под эту задачу. Их выбрали вместо альтернатив вроде цикла Pasta (используемого в Mina), потому что они дают лучшую арифметику в константном времени на Rust и C++ и хорошо сочетаются с уже используемыми в Monero ключами Ed25519. Принципиально важно, что существующие выходы не нужно мигрировать на новые кривые: система доказательств соединяет Ed25519 с Helios на уровне листьев.

Bulletproofs+ для диапазонов и композиции

Доказательства диапазонов (что сумма выхода неотрицательна, без её раскрытия) по-прежнему опираются на Bulletproofs+ — тот же примитив, что используется с форка ноября 2022 года. FCMP++ расширяет BP+, чтобы они доказывали и составное утверждение: «Я знаю раскрытие листа в некоторой позиции curve tree, этот лист — обязательство на выход, который мне принадлежит, и я ещё не тратил его раньше». Итоговое доказательство занимает примерно 3 КБ до агрегации и верифицируется менее чем за 50 миллисекунд на современном CPU — таковы цифры из бенчмарков Люка «Kayaba» Паркера в эталонной реализации.

Что меняется для пользователей и операторов кошельков

Для обычного пользователя Monero день активации FCMP++ пройдёт на удивление буднично. Кошелёк синхронизируется, субадреса продолжают работать, ваша seed-фраза остаётся действительной. Перемена незаметна в интерфейсе, но фундаментальна внутри. Ниже — сравнение практических различий.

Комиссии за транзакции вырастут умеренно — ранние оценки указывают на 1,8–2,5-кратное увеличение текущего минимального тарифа за килобайт — потому что доказательства больше по размеру. Однако динамический размер блока поглощает большую часть удара, а хвостовая эмиссия удерживает доход майнеров стабильным. MRL опубликовала калькулятор, который для типичного пользователя оценивает добавочную стоимость в эквиваленте двух–четырёх центов на транзакцию.

«FCMP++ — крупнейшее обновление приватности за всю историю Monero. Мы переходим от „вероятно анонимный среди 16“ к „доказуемо анонимный среди всех, кто когда-либо пользовался цепью“». — Джастин Берман, контрибьютор MRL, MoneroKon 2025

Пошагово: как подготовиться к хардфорку FCMP++

Хардфорк предварительно намечен на конец 2026 года и зависит от завершения аудита и финального ревью кода. Вот что стоит сделать каждому пользователю Monero, чтобы встретить форк во всеоружии — независимо от того, держите ли вы монеты у себя, поднимаете ли ноду или меняете в XMR через сервис.

1. Обновите кошельковое ПО минимум за неделю до форка. Следите за страницей релизов monero-project на GitHub — там появится переход с v0.19 на v0.20, в котором будет поддержка FCMP++. Старые кошельки после высоты форка просто перестанут уметь рассылать валидные транзакции.
2. Если поднимаете ноду — заложите время на первичную пересинхронизацию curve tree. Первая синхронизация после форка восстанавливает обязательство членства с самого генезиса. Закладывайте 4–8 часов CPU-времени на потребительском железе. Pruned-ноды поддерживаются, но требуют примерно на 30 процентов больше времени.
3. Снимите средства с аппаратных кошельков, для которых ещё не вышла свежая прошивка. Trezor публично пообещал поддержку с первого дня. Пользователям Ledger стоит готовиться к ожиданию: исторически Ledger отстаёт от форков Monero на 6–12 месяцев. Если ждать невозможно — переведите средства на горячий кошелёк с актуальной CLI до форка.
4. Проверьте готовность пулов, если вы майните. P2Pool и крупные централизованные пулы (SupportXMR, Nanopool, преемники MineXMR) уже подтвердили поддержку. Соло-майнерам стоит пересобрать ноду из официального исходника после выхода тега релиза.
5. Если пользуетесь биржей или обменником — заранее уточните, поддерживает ли сервис форк. Авторитетные no-KYC обменники, включая MoneroSwapper, который агрегирует ликвидность сразу с нескольких бирж, исторически подхватывали форки Monero уже через несколько часов после активации. Перед днём форка имеет смысл заглянуть на страницу статуса сервиса, если вы планируете обмен.
6. Сделайте резервную копию seed перед любым крупным обновлением. Polyseed и старая 25-словная мнемоника одинаково остаются валидными после форка; миграция ключей не требуется. Но обновление — отличный повод проверить, действительно ли ваши бэкапы восстанавливаются как положено.

Практический пример: анонимный обмен до и после форка

Разберём реальный сценарий. Алексей в Алматы получает фриланс-оплату 0,04 BTC и хочет конвертировать её в XMR, чтобы оплатить аппаратную покупку у поставщика, который принимает исключительно Monero. До FCMP++ его сценарий в MoneroSwapper выглядит так: он вставляет свой субадрес Monero, получает одноразовый BTC-адрес для депозита, отправляет — и в течение примерно 30 минут XMR приходит на кошелёк. Транзакция, привязывающая его вход к более широкой цепи, защищена кольцом из 16 — это сильно, но не неприступно против целенаправленного противника, наблюдающего за обоими концами.

После активации FCMP++ тот же обмен проходит через тот же интерфейс, но транзакция, которую обменник публикует от имени Алексея, несёт доказательство, что его выход может быть любым из более чем 100 миллионов выходов в цепи. Даже если аналитическая фирма коррелирует депозит BTC с Алексеем и наблюдает за выходом XMR, она не сможет связать конкретный выход Алексея с последующей тратой у поставщика — криптографическое доказательство членства не раскрывает, какой именно лист в curve tree был потрачен. Пользовательский опыт идентичен; гарантия приватности качественно иная.

Региональный контекст здесь важен. В России криптовалюты регулируются федеральным законом № 259-ФЗ «О цифровых финансовых активах», а с 2025 года действует отдельная норма о майнинговой деятельности; при этом легальный оборот для физических лиц по-прежнему ограничен, а сами операции по обмену между собственными кошельками в законе явно не запрещены. В Казахстане и Беларуси режимы несколько отличаются, но общий принцип тот же: FCMP++ ничего не меняет в регуляторном статусе — он меняет то, что противник способен доказать на основании данных цепи постфактум. Для пользователей в юрисдикциях с агрессивным финансовым надзором это обновление приближается по значимости к экзистенциальному.

Дорожная карта: FCMP++, Seraphis и Carrot

FCMP++ — не конечная точка дорожной карты приватности Monero, а промежуточная станция. Следующее крупное предложение, Seraphis, переписывает протокол транзакций с нуля и естественно сочетается с новой схемой адресов под названием Jamtis (и её облегчённым «родственником» Carrot, предложенным пользователем jeffro256 в 2024 году). Seraphis приносит нативную поддержку мультиподписи, более компактное сканирование на основе view-тегов и улучшенную прямую секретность для view-only кошельков.

Порядок шагов здесь имеет значение. Выкатывая FCMP++ первым как ограниченное обновление схемы подписей, MRL покупает себе время для финализации Seraphis, не пытаясь упихнуть два крупных изменения в один форк. Исторический аналог — путь от MLSAG к CLSAG в 2020 году, который пришёл за 18 месяцев до обновления Bulletproofs+. Ожидать активации Seraphis раньше 2027 года не стоит, и только после того, как кодовая база FCMP++ проживёт в продакшене хотя бы один полный релизный цикл.

Отдельный, параллельный вопрос — постквантовая безопасность. Ни CLSAG, ни FCMP++ в нынешнем виде не являются постквантово безопасными: обе схемы опираются на предположение о дискретном логарифме на эллиптических кривых. Квантовый противник с достаточно крупным отказоустойчивым компьютером в принципе мог бы взломать любую из систем задним числом. MRL уже начала исследование решёточных альтернатив, но готовый к продакшену постквантовый Monero — это, скорее всего, проект 2030-х. FCMP++ выкупает запас прочности против сегодняшних противников; квантовая устойчивость — отдельный пункт дорожной карты.

FAQ

Когда именно FCMP++ активируется в мейннете?

По состоянию на середину 2026 года ориентировочная высота активации намечена на окно октябрь–ноябрь и зависит от завершения двух независимых аудитов кода (один финансируется Monero Community Crowdfunding System, другой — внешней фирмой, чьё имя пока публично не раскрыто) и успешного прогона тестнета длительностью не менее 90 дней. MRL последовательно ставит корректность выше расписания, так что сдвиг на начало 2027 года вполне реалистичен. Канонический сигнал — релизный тег v0.20 в репозитории monero-project.

Нужно ли что-то делать с существующими XMR до форка?

Нет. Ваши существующие выходы, субадреса и seed остаются валидными. Curve tree собирается из всех тратимых выходов на высоте форка, поэтому монеты, которые вы держали до форка, автоматически попадают в новый анонимный набор. Никакой миграционной транзакции, никакого свопа токенов и никакого риска потерять средства от одного лишь факта удержания через форк не существует. Единственная оговорка — следить за актуальностью кошелькового ПО, чтобы иметь возможность тратить после обновления.

Будут ли работать аппаратные кошельки?

Trezor пообещал поддержку с первого дня, прошивка активно разрабатывается и уже тестировалась на тестнете FCMP++. Ledger исторически отстаёт — разрыв между форками Monero и поддержкой со стороны Ledger в прошлых обновлениях составлял в среднем 6–12 месяцев. Если вы полагаетесь на Ledger, заложите либо задержку в возможности тратить, либо временный перевод средств в официальный CLI-кошелёк, у которого всегда есть полная поддержка свежей версии протокола.

Делает ли FCMP++ Monero постквантово защищённым?

Нет. FCMP++ улучшает анонимный набор против классического анализа цепей, но наследует текущую зависимость Monero от задачи дискретного логарифма на эллиптических кривых. Будущий квантовый компьютер достаточного масштаба в теории мог бы взломать лежащие в основе подписи. Постквантовый Monero — отдельный, более долгосрочный исследовательский проект. MRL обсуждает решёточные и изогенийные кандидаты, но ни один из них пока далёк от готовности к продакшену.

Как это отразится на комиссиях за транзакции?

Ранние оценки указывают, что базовые комиссии вырастут примерно в 1,8–2,5 раза, потому что доказательства больше по размеру, чем подписи CLSAG. В абсолютных величинах типичная транзакция с 2 входами и 2 выходами, которая сегодня стоит около одного цента в долларовом эквиваленте, после форка обойдётся в два–четыре цента. Механизм динамического размера блока и хвостовая эмиссия смягчают эффект, и совокупные комиссии за килобайт полезных данных остаются одними из самых низких среди приватных монет.

Можно ли анонимно обменять в XMR во время или сразу после форка?

Да, при условии, что сервис обмена поддерживает обновление. MoneroSwapper и другие no-KYC агрегаторы обычно приостанавливают приём новых Monero-депозитов на несколько часов вокруг высоты форка, чтобы операторы нод успели обновиться, а затем возобновляют работу в штатном режиме. Средства, отправленные на адрес депозита до паузы, обрабатываются после того, как ноды догонят цепь. Риска потерять деньги нет, но возможно короткое окно с задержкой подтверждений. Крупные обмены планируйте либо заблаговременно до, либо заметно после форкового окна — так опыт будет максимально гладким.

Заключение

FCMP++ — обновление того сорта, что оправдывает репутацию Monero как самой активно исследуемой приватной монеты в продакшене. Оно заменяет десятилетнее допущение — что 16 децоев достаточно — на криптографическую гарантию, привязанную ко всей цепи. Математика сложная, аудит ещё продолжается, и развёртывание не будет мгновенным или безболезненным, но точка назначения — это Monero, в которой анонимный набор перестаёт быть параметром, который можно подкручивать и тем самым ослаблять со временем. Для всех, кто полагается на приватные деньги — будь то по причинам делового комплаенса, личной финансовой приватности или работы в юрисдикциях, где надзор включён по умолчанию, — эта точка стоит ожидания. Когда форк состоится, обмен в XMR через MoneroSwapper будет работать ровно так же, как сегодня, — только приватность под капотом станет качественно сильнее. Сохраните страницу в закладки, следите за релизом v0.20 и обновите кошелёк до высоты форка.