שדרוג FCMP++ של Monero: סוף עידן חתימות הטבעות
שדרוג FCMP++ של Monero מוסבר: סוף עידן חתימות הטבעות
במשך כמעט עשור, הפרטיות של Monero נשענה על קונסטרוקציה מתמטית אלגנטית הקרויה חתימת טבעת: כאשר אתם מוציאים מטבע, הקלט האמיתי שלכם מעורבב עם חמישה־עשר פלטים מטעים שנשאבים מהבלוקצ׳יין, ומשקיף חיצוני אינו יכול להבחין איזה מהם באמת שייך לכם. גודל הטבעת של 16 החזיק מעמד באופן מפתיע, אך הוא גם משטח ההתקפה היחיד שנחקר באופן האינטנסיבי ביותר בכל הפרוטוקול. ה-Hard Fork המתוכנן לסוף 2026 משנה את כל המודל מהיסוד. FCMP++ — קיצור של Full-Chain Membership Proofs Plus Plus — מחליף את הטבעת בת 16 הפלטים בהוכחה קריפטוגרפית שהקלט שלכם משתייך לקבוצה הכוללת כל פלט בר־הוצאה ש-Monero אי פעם הפיקה, מספר שעובר היום את מאה המיליון. מערך האנונימיות קופץ מ-16 לכל ההיסטוריה של השרשרת. מדריך זה סוקר מה FCMP++ עושה בפועל, מדוע סכמת CLSAG הקיימת זקוקה לפנסיה, כיצד עצי עקומה (curve trees) ומחזור Helios/Selene הופכים את המתמטיקה לישימה, וכיצד החלפה ל-XMR דרך שירותים כמו MoneroSwapper תרגיש לאחר שהשדרוג ייכנס לתוקף.
מדוע CLSAG וחתימות הטבעות חייבות לפרוש
סכמת החתימות הנוכחית של Monero, CLSAG (קיצור של Concise Linkable Spontaneous Anonymous Group), הופעלה באוגוסט 2020 והקטינה את גודל העסקה ביערך 25 אחוז ביחס לקודמתה MLSAG. היא אלגנטית, מהירה ומוכחת בקרב. אבל ההנחה המרכזית שביסודה — שתוקף אינו יכול להבדיל בין ההוצאה האמיתית לבין 15 הפלטים המטעים — תמיד הייתה הנחה ההולכת ונחלשת ככל שטכניקות ניתוח השרשרת משתפרות.
כמה היוריסטיקות שפורסמו בספרות האקדמית מכרסמות בערובה של "16 מתוך 16". המוכרת ביותר היא מתקפת Eve-Alice-Eve, שבה גוף מעקב השולט בשתי עסקאות הקשורות לאותו מטרה — או צופה בהן — משתמש בדפוסי זמן, בהתפלגות גילאי הפלטים, ובקלטים ידועים שכבר הוצאו, כדי לצמצם את מערך האנונימיות האפקטיבי. חוקרים הראו שתחת מודלים יריבים ריאליסטיים, גודל הטבעת האפקטיבי יכול לרדת אל הרבה מתחת ל-16 בעסקאות מסוימות. חברות לניתוח בלוקצ'יין דוגמת Chainalysis ו-CipherTrace, וגם הקבלן Integra FEC המועסק על ידי שירות המס האמריקאי, טענו בפומבי על יכולות חלקיות של פיענוח אנונימיות, גם אם הדיוק המעשי של אותן טענות עדיין שנוי במחלוקת. בישראל, רשות המסים פרסמה מאז 2018 הנחיות לגבי דיווח על נכסים דיגיטליים, אך לא הוצגה עד היום ראיה ציבורית לכך שהיא מנהלת ניתוח שרשרת על Monero ספציפית.
- מערך אנונימיות מצומצם: 16 קלטים מתוך פנקס המכיל מעל 100 מיליון פלטים זה פרטיות סטטיסטית — לא פרטיות קריפטוגרפית.
- הטיה בבחירת פלטים מטעים: התפלגות הגאמא המשמשת לבחירת הפלטים המטעים מדליפה מידע כאשר הפלט האמיתי ישן באופן חריג או חדש באופן חריג.
- מתקפות "שיש שחור" (Black Marble): תוקף השולט בחלק נכבד מהפלטים החדשים שנוצרים יכול להרעיל טבעות עתידיות בכך שהוא יודע מי מבין ה-16 שלו.
- הנחת הקבוצה הסגורה: אם דפוס ההוצאה של ארנק כלשהו צפוי, הקבוצה האפקטיבית מצטמצמת גם אם הקבוצה הקריפטוגרפית לא.
FCMP++ מוחק את כל מודל הפלטים המטעים. אין יותר טבעת. אין יותר אלגוריתם בחירה שניתן להטות. במקום זאת, המבצע מייצר הוכחת אפס־ידע שהקלט המוצא הוא אחד מבין הפלטים בעץ Merkle המחויב לכל השרשרת — וההוכחה הזו אינה חושפת דבר ביחס לזהותו של אותו פלט.
כיצד הוכחות חברות מלאות־בשרשרת עובדות בפועל
האתגר הקריפטוגרפי שעמד מול FCMP++ ברוטלי: להוכיח חברות בקבוצה הכוללת מעל 100 מיליון איברים, לעשות זאת בפחות מקילובייט, ולאמת זאת תוך מילישניות על מחשב נייד רגיל. מעבדת המחקר של Monero (Monero Research Lab, או MRL) פתרה זאת בערימה של שלושה רכיבים — עצי עקומה, מחזור Helios/Selene, ו-Bulletproofs+ — לכדי הוכחה מורכבת אחת. התוצאה היא חתימה בגודל הקרוב לזה של CLSAG הקיימת, אך עם מערך אנונימיות הגדול בשישה סדרי גודל.
עצי עקומה: עצי Merkle לנקודות עקומה אליפטית
עץ עקומה, מבנה שהוצג על ידי Campanelli, Hall-Andersen ו-Kamp ב-2022, הוא עץ Merkle שצמתיו הפנימיים הם מחויבויות (commitments) של נקודות על עקומה אליפטית — לא חשי גיבוב רגילים. העלים מכילים מפתחות פלט ציבוריים ומחויבויות סכום; כל ענף משלב את ילדיו דרך מחויבות Pedersen על עקומה אליפטית מקבילה. מכיוון שהמחויבויות הומומורפיות, ניתן להוכיח שעלה נסתר שוכן על מסלול מסוים מבלי לחשוף את העלה או את המסלול. העץ של Monero יהיה בעומק של בערך 25 שכבות בגודל השרשרת הנוכחי, ואיזון מחדש שלו יקרה כחלק מהקונצנזוס.
מחזור העקומות Helios ו-Selene
עצי עקומה זקוקים לשתי עקומות אליפטיות שמשתלבות זו בזו אריתמטית — שדה הבסיס של אחת הוא שדה הסקלרים של השנייה. ה-MRL התכנסה סביב זוג חדש שכונה Helios ו-Selene, שעוצב ב-2024 במיוחד למטרה זו. הוא נבחר על פני אלטרנטיבות כמו מחזור Pasta (המשמש את Mina) משום שהוא מציע אריתמטיקה טובה יותר בזמן קבוע ב-Rust וב-C++, ומסתדר היטב עם מפתחות ה-Ed25519 שב-Monero כבר משתמשים בהם. חשוב מכך: פלטים קיימים אינם נדרשים להגירה לעקומות החדשות; מערכת ההוכחה מגשרת בין Ed25519 ל-Helios בשכבת העלים.
Bulletproofs+ להוכחות טווח ולקומפוזיציה
הוכחות טווח (range proofs) — ההוכחה שסכום הפלט הוא אי־שלילי בלי לחשוף אותו — ימשיכו להישען על Bulletproofs+, אותו רכיב פרימיטיבי שמשמש את הפרוטוקול מאז ה-Hard Fork של נובמבר 2022. FCMP++ מרחיבה את BP+ כך שתוכיח גם את הטענה המורכבת: "אני יודע את הפתיחה של עלה במיקום כלשהו בעץ העקומה, והעלה הזה מחויב לפלט בבעלותי, וטרם הוצאתי אותו". ההוכחה שמתקבלת היא בערך 3 קילובייט לפני אגרגציה ומתאמתת תוך פחות מ-50 מילישניות על מעבד מודרני, על פי בנצ'מרקים שפרסם Luke "Kayaba" Parker במימוש הייחוס.
מה משתנה למשתמשים ולמפעילי ארנקים
עבור משתמשי Monero רגילים, היום בו FCMP++ ייכנס לתוקף ייראה שגרתי באופן מפתיע. הארנק שלכם יסתנכרן, תת־הכתובות שלכם ימשיכו לעבוד, וביטוי הזרע (seed phrase) יישאר בתוקף. השינוי בלתי נראה בממשק המשתמש, אך עמוק מתחת לפני השטח. להלן השוואה מעשית בין המצב לפני ל-מצב לאחר.
| תכונה | לפני ה-Fork (CLSAG) | לאחר ה-Fork (FCMP++) |
|---|---|---|
| גודל מערך האנונימיות לקלט | 16 פלטים | מעל 100M פלטים (כל השרשרת) |
| גודל עסקה (2 קלטים, 2 פלטים) | ~1.5 קילובייט | ~3–4 קילובייט |
| זמן אימות | ~10 מילישניות | ~40–50 מילישניות |
| בחירת פלטים מטעים | התפלגות גאמא בצד הלקוח | אין — מחויבות לכל השרשרת |
| תמיכת ארנק חומרה | Trezor, Ledger | Trezor ביום הראשון, Ledger סביר 6–12 חודשים מאוחר יותר |
| עמידות בפני ניתוח שרשרת | סטטיסטית, נחלשת עם הזמן | קריפטוגרפית, גדלה עם השרשרת |
| מתקפות שיש שחור / הרעלה | אפשריות בקנה מידה | מבוטלות |
עמלות העסקה יעלו במידה מתונה — אומדנים מוקדמים מציעים כפל של 1.8 עד 2.5 על העמלה המינימלית הנוכחית לקילובייט — מאחר שההוכחות גדולות יותר. עם זאת, מנגנון גודל הבלוק הדינמי סופג את עיקר ההשפעה, ופליטת הזנב (tail emission) שומרת על יציבות הכנסות הכורים. ה-MRL פרסם מחשבון שמעריך כי משתמש ארנק טיפוסי ישלם תוספת של בערך 7 עד 14 אגורות לעסקה — סכום זניח לרובנו.
"FCMP++ הוא שדרוג הפרטיות הגדול ביותר בהיסטוריה של Monero. אנחנו עוברים מ'כנראה אנונימיים בקרב 16' ל'אנונימיים באופן מוכח בקרב כל מי שאי פעם השתמש בשרשרת'." — Justin Berman, תורם ב-MRL, ב-MoneroKon 2025
מדריך צעד־אחר־צעד: כיצד להתכונן ל-Hard Fork של FCMP++
ה-Hard Fork מתוכנן באופן זמני לסוף 2026, בכפוף להשלמת הביקורת והסקירה הסופית של הקוד. להלן מה שכל משתמש Monero צריך לעשות כדי להיות מוכן, בין אם אתם מחזיקים בכספכם בעצמכם, מפעילים צומת, או מחליפים מטבעות ל-XMR דרך שירות חיצוני.
- עדכנו את תוכנת הארנק לפחות שבוע לפני ה-Fork. עקבו אחר עמוד השחרורים הרשמי של monero-project ב-GitHub עבור הקפיצה מ-v0.19 ל-v0.20 שתישא את התמיכה ב-FCMP++. ארנקים ישנים פשוט יחדלו להיות מסוגלים לשדר עסקאות תקפות לאחר גובה ה-Fork.
- אם אתם מפעילים צומת, תכננו סנכרון מחדש ראשוני של עץ העקומה. הסנכרון הראשון לאחר ה-Fork בונה מחדש את מחויבות החברות מהבלוק הראשון. הקצו 4 עד 8 שעות של זמן מעבד על חומרה ביתית. צמתים גזומים (pruned) נתמכים, אבל ייקח להם בערך 30 אחוז זמן יותר.
- הוציאו כספים מארנקי חומרה שעדיין לא שלחו עדכון קושחה. Trezor התחייבה לתמיכה ביום הראשון. משתמשי Ledger צריכים לצפות להמתנה ארוכה יותר — היסטורית Ledger פיגרה 6 עד 12 חודשים אחרי Forks של Monero. אם אינכם יכולים לחכות, העבירו ל"ארנק חם" המריץ את ה-CLI העדכני ביותר לפני ה-Fork.
- וודאו את מוכנותם של ה-pools לכרייה אם אתם כורים. P2Pool וה-pools המרכזיים העיקריים (SupportXMR, Nanopool, יורשי MineXMR) כולם איתתו תמיכה. כורים סולו צריכים לבנות מחדש את הצומת שלהם מהמקור הרשמי לאחר ש-tag השחרור יפורסם.
- אם אתם משתמשים בבורסה או בשירות החלפה, אמתו תמיכה ב-Fork מראש. פלטפורמות החלפה מוכרות ללא KYC — כולל MoneroSwapper, המשתמשת בנזילות מצרפית מכמה בורסות — תמכו היסטורית ב-Forks של Monero תוך שעות מההפעלה. בדקו את דף הסטטוס של השירות לפני יום ה-Fork אם בכוונתכם להחליף.
- גבו את הזרע שלכם לפני כל שדרוג משמעותי. Polyseed והממוניזציה הישנה בת 25 המילים, שתיהן נשארות תקפות לאחר ה-Fork; אין צורך בהגירה של מפתחות. אך שדרוגים הם פונקציה כפויה מצוינת כדי לוודא שהגיבויים שלכם עדיין משוחזרים כראוי.
דוגמה מעשית: החלפה ללא KYC לפני ואחרי ה-Fork
נתבונן בתרחיש מהעולם האמיתי. דנה, מפתחת תוכנה עצמאית מתל אביב, מקבלת תשלום פרילנס של 0.04 BTC מלקוח בגרמניה ורוצה להמיר אותו ל-XMR לרכישת חומרה מספק שמקבל רק Monero. לפני FCMP++, התהליך שלה ב-MoneroSwapper נראה כך: היא מדביקה את תת־כתובת ה-Monero שלה, מקבלת כתובת הפקדה חד־פעמית של BTC, שולחת, ובתוך 30 דקות ה-XMR נוחת. העסקה שמקשרת בין הקלט שלה לשרשרת הרחבה מוגנת על ידי טבעת בגודל 16 — חזקה, אך לא בלתי שבירה מול יריב נחוש שצופה בשני הקצוות.
לאחר ש-FCMP++ ייכנס לתוקף, אותה החלפה מתבצעת דרך אותו הממשק, אך העסקה שעליה השירות משדר בשם דנה תישא הוכחה שהפלט שלה יכול להיות כל אחד ממאה מיליון פלטים בשרשרת. אפילו אם חברת ניתוח שרשרת תקשר בין הפקדת ה-BTC לבין דנה ותצפה ביציאת ה-XMR, היא לא תוכל לקשור את הפלט הספציפי של דנה להוצאה בסופו של דבר על ידי ספק החומרה — הוכחת החברות הקריפטוגרפית אינה חושפת דבר ביחס לאיזה עלה בעץ העקומה הוצא בפועל. חוויית המשתמש זהה; ערובת הפרטיות שונה באיכות.
הקשר רגולטורי ישראלי חשוב כאן. רשות המסים מסווגת מאז 2018 את הקריפטו כ"נכס" ולא כמטבע, מה שמשמעו שכל המרה — כולל BTC ל-XMR — נחשבת אירוע מס ועלולה להפעיל חבות במס רווחי הון של 25 אחוז. הרשות לאיסור הלבנת הון ומימון טרור (רא"ם) מטילה חובות דיווח על נותני שירות בנכסים פיננסיים, אך עסקאות פרטיות בין ארנקים לא־משמורניים — wallet-to-wallet — נשארות מחוץ לתחולה הישירה של החובות הללו. FCMP++ אינו משנה דבר במעמד הרגולטורי — הוא משנה רק את מה שיריב יכול להוכיח מנתוני השרשרת בדיעבד. עבור משתמשים בתחומי שיפוט שבהם המעקב הפיננסי אגרסיבי יותר מאשר בישראל, השדרוג קרוב יותר להיות קיומי.
מפת הדרכים: FCMP++, Seraphis ו-Carrot
FCMP++ אינו תחנת הסיום של מפת הדרכים של פרטיות Monero; הוא אבן דרך. ההצעה המרכזית הבאה, Seraphis, מעצבת מחדש את פרוטוקול העסקה מהיסוד ומשתלבת באופן טבעי עם סכמת כתובות חדשה הקרויה Jamtis (ובן הדוד הקליל שלה, Carrot, שהוצע על ידי המשתמש jeffro256 ב-2024). Seraphis מביא תמיכה טבעית ב-multisignature, סריקה קלילה יותר מבוססת view-tag, וסודיות קדימה משופרת לארנקי תצוגה־בלבד.
סדר הפעולות חשוב. בכך שתחילה ייוצא FCMP++ כשדרוג מבודד של סכמת החתימה, ה-MRL קונה זמן לסיים את Seraphis בלי לדחוס שני שינויים מרכזיים ל-Fork אחד. ההקבלה ההיסטורית היא המעבר מ-MLSAG ל-CLSAG ב-2020, שהגיע 18 חודשים לפני שדרוג ה-Bulletproofs+. צפו להפעלת Seraphis לא לפני 2027, ורק לאחר שבסיס הקוד של FCMP++ יעבור לפחות מחזור שחרור מלא בייצור.
קיימת גם השאלה המקבילה של אבטחה פוסט־קוונטית. לא CLSAG ולא FCMP++ בטוחות פוסט־קוונטית בצורתן הנוכחית — שתיהן נשענות על הנחת הלוגריתם הדיסקרטי על עקומות אליפטיות. יריב קוונטי עם מחשב סובל־שגיאות בגודל מספיק יוכל באופן עקרוני לשבור כל אחת מהן בדיעבד. ה-MRL החל מחקר על תחליפים מבוססי־סריגים (lattice-based), אך Monero פוסט־קוונטית מוכנה לייצור הוא ככל הנראה פרויקט של שנות ה-2030. FCMP++ קונה מרחב פעולה מול היריבים של היום; עמידות קוונטית היא פריט נפרד במפת הדרכים.
שאלות נפוצות
מתי בדיוק FCMP++ יופעל ב-mainnet?
נכון לאמצע 2026, גובה ההפעלה המתוכנן מתוזמן באופן זמני לחלון אוקטובר–נובמבר, בכפוף להשלמת שתי ביקורות קוד עצמאיות (אחת ממומנת על ידי מערכת המימון ההמוני של קהילת Monero, השנייה על ידי חברה חיצונית שטרם הוכרזה בפומבי) ולהרצת testnet מוצלחת בת 90 ימים לפחות. ה-MRL תיעדפה היסטורית נכונות על פני לוח זמנים, כך שדחייה לתחילת 2027 סבירה לחלוטין. עקבו אחר מאגר monero-project עבור tag השחרור v0.20, שיהיה האות הקנוני.
האם עליי לעשות משהו עם ה-XMR הקיים שלי לפני ה-Fork?
לא. הפלטים הקיימים שלכם, תת־הכתובות שלכם, והזרע שלכם נשארים תקפים. עץ העקומה נבנה מכל הפלטים הניתנים להוצאה בגובה ה-Fork, כך שמטבעות שהחזקתם לפני ה-Fork נכללים אוטומטית במערך האנונימיות החדש. אין עסקת הגירה, אין החלפת אסימונים, ואין סיכון לאיבוד כספים פשוט בעצם החזקה לאורך ה-Fork. ההסתייגות היחידה היא לשמור את תוכנת הארנק עדכנית כדי שתוכלו להוציא לאחר השדרוג.
האם ארנקי חומרה ימשיכו לעבוד?
Trezor התחייבה לתמיכה ביום הראשון, עם קושחה בפיתוח פעיל שכבר נבדקה על ה-testnet של FCMP++. Ledger לוקחת היסטורית יותר זמן — הפער בין Forks של Monero לתמיכה של Ledger נמדד בממוצע ב-6 עד 12 חודשים בשדרוגים הקודמים. אם אתם מסתמכים על Ledger, תכננו או לקבל עיכוב ביכולת ההוצאה או לטאטא זמנית כספים לארנק ה-CLI הרשמי, שתמיד נהנה מתמיכה מהדרגה הראשונה בגרסת הפרוטוקול העדכנית.
האם FCMP++ הופך את Monero לבטוחה פוסט־קוונטית?
לא. FCMP++ משפר את מערך האנונימיות מול ניתוח שרשרת קלאסי אך יורש את ההישענות הקיימת של Monero על בעיית הלוגריתם הדיסקרטי על עקומות אליפטיות. מחשב קוונטי עתידי בגודל מספיק יוכל באופן תיאורטי לשבור את החתימות הבסיסיות. Monero פוסט־קוונטית היא פרויקט מחקר נפרד וארוך־טווח יותר. ה-MRL דן במועמדים מבוססי־סריגים ומבוססי־איזוגניות, אך אף אחד מהם אינו אפילו קרוב לבשלות לייצור.
כיצד זה משפיע על עמלות עסקה?
אומדנים מוקדמים מציעים כי עמלות הבסיס יעלו ביערך 1.8 עד 2.5 פעמים בגלל שההוכחות גדולות יותר מחתימות CLSAG. במונחים מוחלטים, עסקה טיפוסית של 2 קלטים ו-2 פלטים, שעולה היום בערך אגורה אחת, תעלה שתיים עד ארבע אגורות לאחר ה-Fork. מנגנון גודל הבלוק הדינמי ופליטת הזנב מרככים את ההשפעה, ועמלות מצרפיות לקילובייט של מידע שימושי נשארות מהנמוכות ביותר בקרב כל מטבעות הפרטיות.
האם אוכל להחליף ל-XMR באנונימיות במהלך ה-Fork או מיד אחריו?
כן, בתנאי ששירות ההחלפה שאתם משתמשים בו תומך בשדרוג. MoneroSwapper וצוברי החלפה אחרים ללא KYC עוצרים בדרך כלל הפקדות Monero חדשות למספר שעות סביב גובה ה-Fork כדי לאפשר למפעילי הצמתים לשדרג, ולאחר מכן חוזרים לפעולה רגילה. כספים שנשלחו לכתובת הפקדה לפני העצירה מעובדים ברגע שהצמתים מתעדכנים. אין סיכון לאיבוד כספים, אך עשוי להיות חלון קצר של אישורים מעוכבים. תכננו החלפות גדולות הרבה לפני או הרבה אחרי חלון ה-Fork עבור החוויה החלקה ביותר.
איך זה משפיע על ההיבט המיסויי בישראל?
השדרוג עצמו אינו אירוע מס בישראל — החזקת XMR לאורך ה-Fork אינה מהווה הוצאה או המרה לצורכי מס רווחי הון. רשות המסים בישראל ממסה את האירוע של מימוש: רגע שבו אתם מוכרים XMR למטבע פיאט או ממירים אותו לקריפטו אחר. במצב בו אתם משתמשים ב-MoneroSwapper להמרה BTC→XMR, לדוגמה, ההמרה עצמה מהווה מימוש BTC ועלולה להפעיל חבות מס על הרווח שצבר ה-BTC מאז רכישתו. שמרו תיעוד של עלות הרכישה (basis) של כל יחידה — FCMP++ אינו משנה את חובת התיעוד הזו, אך הוא הופך את האנונימיות לחזקה מספיק כדי שניתוח שרשרת לא יוכל להחליף את הצורך בדיווח עצמי כן ומדויק.
סיכום
FCMP++ הוא סוג השדרוג שמצדיק את המוניטין של Monero כמטבע הפרטיות הנחקר באופן הפעיל ביותר בייצור. הוא מחליף הנחה בת עשור — ש-16 פלטים מטעים מספיקים — בערובה קריפטוגרפית הקשורה לכל השרשרת. המתמטיקה קשה, הביקורות עדיין בתהליך, וההפצה לא תהיה מיידית או נטולת כאב, אך היעד הוא Monero שבה מערך האנונימיות אינו עוד פרמטר שיש לכוון ולהחליש לאורך זמן. עבור כל מי שמסתמך על כסף פרטי — בין אם מסיבות עסקיות תואמות־רגולציה, פרטיות פיננסית אישית, או פעילות בתחומי שיפוט שבהם מעקב הוא ברירת המחדל — היעד הזה שווה את ההמתנה. כאשר ה-Fork ינחת, החלפה ל-XMR דרך MoneroSwapper תעבוד בדיוק כפי שהיא עובדת היום — רק שהפרטיות שמתחת תהיה חזקה באופן איכותי. סמנו את הדף, עקבו אחר שחרור v0.20, ועדכנו את הארנק שלכם לפני גובה ה-Fork.
🌍 קרא בשפה