MoneroSwapper MoneroSwapper

Monero FCMP++ Upgrade erklärt: Ende der Ring-Signaturen

MoneroSwapper · · · 14 min read · 9 views

Monero FCMP++ Upgrade erklärt: Das Ende der Ring-Signaturen

Fast ein Jahrzehnt lang ruhte die Privatsphäre von Monero auf einem cleveren Stück Mathematik mit dem Namen Ring-Signatur: Wenn Sie eine Münze ausgeben, wird Ihr echter Input mit fünfzehn Lockvögeln aus der Blockchain vermischt, und ein außenstehender Beobachter kann nicht erkennen, welcher der Ihre ist. Diese Ringgröße von sechzehn hat sich erstaunlich gut gehalten, doch sie ist zugleich die am intensivsten untersuchte Angriffsfläche im Protokoll. Die Hard Fork von 2026 wirft das gesamte Modell über Bord. FCMP++ — kurz für Full-Chain Membership Proofs Plus Plus — ersetzt den Ring aus sechzehn Outputs durch einen kryptografischen Beweis dafür, dass Ihr Input zur Menge aller ausgabefähigen Outputs gehört, die Monero jemals erzeugt hat, derzeit weit über einhundert Millionen. Das Anonymitätsset springt von sechzehn auf praktisch die gesamte Historie der Kette. Dieser Leitfaden zeigt, was FCMP++ tatsächlich leistet, warum das bestehende CLSAG-Verfahren in den Ruhestand musste, wie Curve Trees und der Helios/Selene-Zyklus die Mathematik handhabbar machen und wie sich ein Tausch in XMR über Dienste wie MoneroSwapper nach dem Upgrade anfühlen wird.

Warum CLSAG und Ring-Signaturen weichen mussten

Das aktuelle Signaturverfahren von Monero, CLSAG (Concise Linkable Spontaneous Anonymous Group), wurde im August 2020 aktiviert und reduzierte die Transaktionsgröße um rund fünfundzwanzig Prozent gegenüber der vorherigen MLSAG-Konstruktion. Es ist elegant, schnell und in der Praxis erprobt. Doch seine Kernannahme — dass ein Angreifer den echten Spend nicht von den fünfzehn Lockvögeln unterscheiden kann — war stets eine Hypothese, die mit besser werdender Chain-Analyse zunehmend an Substanz verliert.

Mehrere veröffentlichte Heuristiken nagen an der Garantie von sechzehn aus sechzehn. Am häufigsten zitiert wird der Eva-Alice-Eva-Angriff, bei dem eine Überwachungsinstanz zwei Transaktionen rund um dasselbe Ziel kontrolliert oder beobachtet und über zeitliche Muster, Verteilungen der Output-Alter und bereits bekannte Spends das effektive Anonymitätsset einschränkt. Forscher haben gezeigt, dass die effektive Ringgröße unter realistischen Angreifermodellen für bestimmte Transaktionen deutlich unter sechzehn fallen kann. Firmen wie CipherTrace und Chainalysis haben öffentlich Teilfähigkeiten zur Deanonymisierung beansprucht, deren praktische Genauigkeit allerdings umstritten bleibt. Auch deutsche Strafverfolgungsbehörden, darunter das BKA und die ZIT in Frankfurt, haben in jüngeren Verfahren um Darknet-Marktplätze auf solche Werkzeuge zurückgegriffen.

  • Begrenztes Anonymitätsset: Sechzehn Inputs aus einem Hauptbuch mit hundert Millionen Outputs ist statistische, keine kryptografische Privatsphäre.
  • Bias bei der Lockvogel-Auswahl: Die Gamma-Verteilung, mit der Decoys gezogen werden, leakt Information, wenn der echte Output ungewöhnlich alt oder ungewöhnlich frisch ist.
  • Black-Marble-Angriffe: Wer einen großen Teil neu erzeugter Outputs kontrolliert, kann zukünftige Ringe vergiften, weil er weiß, welche der sechzehn ihm gehören.
  • Geschlossene Verhaltensmuster: Wenn das Ausgabeverhalten einer Wallet vorhersehbar ist, schrumpft das effektive Set, auch wenn das kryptografische Set unverändert bleibt.

FCMP++ entfernt das gesamte Lockvogel-Modell. Es gibt keinen Ring mehr. Es gibt keinen Auswahlalgorithmus, der voreingenommen werden könnte. Stattdessen erzeugt die ausgebende Partei einen Zero-Knowledge-Beweis dafür, dass der ausgegebene Input einer der Outputs in einem Merkle-Tree-Commitment der gesamten Kette ist — und dieser Beweis verrät nichts darüber, welcher es ist.

Wie Full-Chain-Membership-Beweise tatsächlich funktionieren

Die kryptografische Herausforderung von FCMP++ ist brutal: Beweise die Mitgliedschaft in einer Menge von mehr als hundert Millionen Elementen, tu das in unter einem Kilobyte, und verifiziere es in Millisekunden auf einem Notebook. Das Monero Research Lab löste dies, indem es drei Primitive stapelte — Curve Trees, den Helios/Selene-Zyklus und Bulletproofs+ — und sie zu einem einzigen zusammengesetzten Beweis verschweißte. Das Ergebnis ist eine Signatur in etwa der Größe des heutigen CLSAG, jedoch mit einem Anonymitätsset, das sechs Größenordnungen größer ist.

Curve Trees: Merkle-Bäume über Punkte elliptischer Kurven

Ein Curve Tree, 2022 von Campanelli, Hall-Andersen und Kamp vorgestellt, ist ein Merkle-Baum, dessen innere Knoten Commitments auf einer elliptischen Kurve sind statt gewöhnlicher Hashes. Die Blätter enthalten Public Keys von Outputs und Betragscommitments; jeder Zweig kombiniert seine Kinder über ein Pedersen-Commitment auf einer gepaarten elliptischen Kurve. Weil diese Commitments homomorph sind, lässt sich beweisen, dass ein verstecktes Blatt auf einem gegebenen Pfad liegt, ohne das Blatt oder den Pfad preiszugeben. Der Baum für Monero ist bei aktueller Kettengröße rund fünfundzwanzig Ebenen tief, und das Rebalancing geschieht als Teil des Konsenses.

Der Kurvenzyklus Helios und Selene

Curve Trees brauchen zwei elliptische Kurven, die arithmetisch ineinanderpassen — der Basiskörper der einen Kurve ist der Skalarkörper der anderen. Das Monero Research Lab entschied sich für ein neues Paar namens Helios und Selene, das 2024 eigens für diesen Zweck entworfen wurde. Es wurde Alternativen wie dem Pasta-Zyklus (genutzt von Mina) vorgezogen, weil es in Rust und C++ bessere konstantzeitige Arithmetik bietet und sich harmonisch in die bereits genutzten Ed25519-Schlüssel von Monero einfügt. Entscheidend: Bestehende Outputs müssen nicht auf die neuen Kurven migriert werden; das Beweissystem schlägt auf der Blattebene eine Brücke von Ed25519 zu Helios.

Bulletproofs+ für Range und Komposition

Range Proofs (der Nachweis, dass der Output-Betrag nicht negativ ist, ohne ihn offenzulegen) stützen sich weiterhin auf Bulletproofs+, dieselbe Primitive, die seit der Fork im November 2022 in Verwendung ist. FCMP++ erweitert BP+, um zusätzlich die zusammengesetzte Aussage zu beweisen: "Ich kenne die Öffnung eines Blattes an einer Position im Curve Tree, dieses Blatt committet auf einen Output, der mir gehört, und ich habe ihn zuvor noch nicht ausgegeben." Der resultierende Beweis liegt vor der Aggregation bei rund drei Kilobyte und verifiziert sich laut den Benchmarks von Luke "Kayaba" Parker in der Referenzimplementierung in unter fünfzig Millisekunden auf einer modernen CPU.

Was sich für Nutzer und Wallet-Betreiber ändert

Für gewöhnliche Monero-Nutzer wird der Tag der FCMP++-Aktivierung überraschend unspektakulär aussehen. Ihre Wallet synchronisiert, Ihre Subadressen funktionieren weiter, Ihre Seed-Phrase bleibt gültig. Die Änderung ist im UI unsichtbar, im Untergrund jedoch tiefgreifend. Hier eine Gegenüberstellung der praktischen Unterschiede.

EigenschaftVor der Fork (CLSAG)Nach der Fork (FCMP++)
Anonymitätsset je Input16 Outputs~100M+ Outputs (gesamte Kette)
Transaktionsgröße (2-in, 2-out)~1,5 KB~3–4 KB
Verifikationszeit~10 ms~40–50 ms
Decoy-AuswahlGamma-Verteilung, clientseitigEntfällt — Ketten-Commitment
Hardware-Wallet-SupportTrezor, LedgerZuerst Trezor, Ledger 6–12 Monate später
Resistenz gegen Chain-AnalyseStatistisch, schwächt sich mit der Zeit abKryptografisch, Set wächst mit der Kette
Black-Marble-VergiftungBei Skalierung möglichEliminiert

Die Transaktionsgebühren steigen moderat — erste Schätzungen reichen vom 1,8- bis 2,5-Fachen der heutigen Mindestgebühr pro Kilobyte —, weil die Beweise größer ausfallen. Der dynamische Blockgrößenmechanismus federt jedoch den Großteil der Auswirkung ab, und die Tail Emission hält die Einnahmen der Miner stabil. Das Monero Research Lab hat einen Kalkulator veröffentlicht, der für eine typische Wallet-Nutzung zusätzliche zwei bis vier US-Cent pro Transaktion schätzt — auf Euro umgerechnet praktisch unbemerkbar.

"FCMP++ ist das größte Privatsphäre-Upgrade in der Geschichte von Monero. Wir wechseln von 'wahrscheinlich anonym unter sechzehn' zu 'beweisbar anonym unter allen, die jemals die Kette genutzt haben.'" — Justin Berman, MRL-Beitragender, auf der MoneroKon 2025

Schritt für Schritt: So bereiten Sie sich auf die FCMP++-Hard-Fork vor

Die Hard Fork ist vorläufig für das späte Jahr 2026 angesetzt, vorbehaltlich abschließender Audits und Code Reviews. Hier die Schritte, die jeder Monero-Nutzer ergreifen sollte — gleich ob Sie selbst verwahren, einen Node betreiben oder über einen Dienst in XMR tauschen.

  1. Aktualisieren Sie Ihre Wallet-Software mindestens eine Woche vor der Fork. Beobachten Sie die offizielle Release-Seite des monero-project auf GitHub für den Sprung von v0.19 zu v0.20, der FCMP++-Unterstützung mitbringt. Alte Wallets werden nach der Fork-Höhe schlicht keine gültigen Transaktionen mehr senden können.
  2. Wenn Sie einen Node betreiben, planen Sie eine initiale Neusynchronisation des Curve Tree ein. Die erste Synchronisation nach der Fork baut das Membership-Commitment von Genesis an neu auf. Rechnen Sie mit vier bis acht Stunden CPU-Zeit auf Consumer-Hardware. Pruned Nodes werden unterstützt, brauchen aber rund dreißig Prozent länger.
  3. Verlagern Sie Bestände von Hardware-Wallets, die noch keine Firmware-Updates ausgeliefert haben. Trezor hat Day-One-Support zugesagt. Ledger-Nutzer müssen mit längeren Wartezeiten rechnen — historisch lag Ledger bei Monero-Forks sechs bis zwölf Monate zurück. Wenn Sie nicht warten können, transferieren Sie vor der Fork in eine Hot Wallet mit der aktuellen CLI.
  4. Prüfen Sie die Bereitschaft Ihres Mining-Pools, falls Sie minen. P2Pool und die großen zentralen Pools (SupportXMR, Nanopool, Nachfolger von MineXMR) haben Unterstützung signalisiert. Solo-Miner sollten ihren Node aus dem offiziellen Quellcode neu bauen, sobald das Release-Tag erscheint.
  5. Bei Tauschdiensten oder Exchanges vorab den Fork-Support bestätigen lassen. Seriöse KYC-freie Swap-Plattformen — darunter MoneroSwapper, das aggregierte Liquidität mehrerer Börsen nutzt — haben Monero-Forks historisch innerhalb weniger Stunden nach Aktivierung unterstützt. Werfen Sie am Fork-Tag einen Blick auf die Statusseite, bevor Sie tauschen.
  6. Sichern Sie Ihren Seed vor jedem größeren Upgrade. Polyseed und das klassische 25-Wort-Mnemonic bleiben nach der Fork gültig; eine Schlüsselmigration ist nicht erforderlich. Doch jedes Upgrade ist ein guter Anlass zu prüfen, ob Ihre Backups tatsächlich wiederherstellbar sind.

Praxisbeispiel: Ein KYC-freier Tausch vor und nach der Fork

Stellen Sie sich einen realen Ablauf vor. Lena aus München erhält eine freiberufliche Zahlung von 0,04 BTC und möchte sie in XMR umwandeln, um Hardware bei einem Anbieter zu kaufen, der ausschließlich Monero akzeptiert. Vor FCMP++ sieht ihr Ablauf auf MoneroSwapper so aus: Sie fügt ihre Monero-Subadresse ein, erhält eine einmalige BTC-Depotadresse, sendet, und binnen dreißig Minuten landet das XMR bei ihr. Die Transaktion, die ihren Input mit der breiteren Kette verknüpft, wird durch einen Ring von sechzehn geschützt — robust, aber gegen einen entschlossenen Angreifer, der beide Endpunkte beobachtet, nicht unverwundbar.

Nach Aktivierung von FCMP++ läuft derselbe Swap durch dieselbe Oberfläche, doch die zugrundeliegende Transaktion, die der Tauschdienst in Lenas Namen sendet, trägt einen Beweis, dass ihr Output jeder beliebige von mehr als hundert Millionen Outputs in der Kette sein könnte. Selbst wenn eine Chain-Analyse-Firma die BTC-Einzahlung mit Lena korreliert und den XMR-Ausgang beobachtet, kann sie Lenas konkreten Output nicht mit dem späteren Spend durch den Hardware-Händler verknüpfen — der kryptografische Membership-Beweis verrät nichts darüber, welches Blatt im Curve Tree tatsächlich ausgegeben wurde. Die Nutzererfahrung ist identisch; die Privatsphäre-Garantie qualitativ eine andere.

Der regionale Kontext spielt eine Rolle. In Deutschland regelt das Geldwäschegesetz peer-to-peer Krypto-Tausch unterhalb bestimmter Schwellen vergleichsweise pragmatisch, und der Bundesfinanzhof hat 2023 endgültig bestätigt, dass private Krypto-Veräußerungsgewinne nach mehr als einem Jahr Haltedauer steuerfrei sind — eine Klarheit, die in vielen anderen EU-Staaten fehlt. Die seit Dezember 2024 vollständig wirksame MiCA-Verordnung der EU nimmt nicht-verwahrende Wallet-zu-Wallet-Transfers explizit von Travel-Rule-Meldungen aus, und das BMF hat im Anwendungsschreiben von 2025 Verwahrungsmodelle und Eigenkustodierung klar voneinander getrennt. FCMP++ ändert am regulatorischen Status nichts — es ändert, was ein Angreifer im Nachhinein aus reinen Blockchain-Daten ableiten kann. In Jurisdiktionen, in denen finanzielle Überwachung aggressiver agiert, ist das Upgrade eher existenziell als kosmetisch.

Die Roadmap: FCMP++, Seraphis und Carrot

FCMP++ ist nicht das Endziel der Monero-Privatsphäre-Roadmap; es ist eine Zwischenstation. Der nächste große Vorschlag, Seraphis, gestaltet das Transaktionsprotokoll von Grund auf neu und passt sich nahtlos in ein neues Adressierungsschema namens Jamtis (und dessen leichteres Geschwisterprojekt Carrot, vom Nutzer jeffro256 im Jahr 2024 vorgeschlagen). Seraphis bringt nativen Multisig-Support, kompakteres View-Tag-basiertes Scannen und bessere Forward Secrecy für View-Only-Wallets.

Die Reihenfolge ist wichtig. Indem FCMP++ zuerst als eingegrenztes Signatur-Upgrade ausgeliefert wird, gewinnt das Monero Research Lab Zeit, Seraphis zu finalisieren, ohne zwei große Änderungen in eine Fork zu pressen. Das historische Analogon ist der Weg von MLSAG zu CLSAG im Jahr 2020, der achtzehn Monate vor dem Bulletproofs+-Upgrade kam. Rechnen Sie mit einer Seraphis-Aktivierung frühestens 2027, und nur, nachdem die FCMP++-Codebasis mindestens einen vollen Release-Zyklus in Produktion hinter sich hat.

Daneben steht die parallele Frage der Post-Quanten-Sicherheit. Weder CLSAG noch FCMP++ sind in ihrer derzeitigen Form quantensicher — beide stützen sich auf die Diskreter-Logarithmus-Annahme auf elliptischen Kurven. Ein Quantenangreifer mit einem hinreichend großen fehlertoleranten Rechner könnte beide Systeme im Prinzip rückwirkend brechen. Das MRL hat Forschung an gitterbasierten Alternativen aufgenommen, doch produktionsreifes Post-Quanten-Monero ist wohl ein Projekt der dreißiger Jahre. FCMP++ verschafft Spielraum gegenüber heutigen Angreifern; Quantenresistenz ist ein separater Roadmap-Punkt.

FAQ

Wann genau wird FCMP++ auf dem Mainnet aktiv?

Stand Mitte 2026 zielt die Aktivierung vorläufig auf das Fenster Oktober/November, vorbehaltlich des Abschlusses zweier unabhängiger Code-Audits (eines finanziert durch das Monero Community Crowdfunding System, das andere durch eine externe, noch nicht öffentlich benannte Firma) und eines erfolgreichen Testnet-Laufs von mindestens neunzig Tagen. Das Monero Research Lab hat Korrektheit konsequent über Zeitpläne gestellt, ein Verschieben in das frühe Jahr 2027 ist daher plausibel. Beobachten Sie das monero-project-Repository für das v0.20-Release-Tag, das wird das verbindliche Signal sein.

Muss ich vor der Fork etwas mit meinen bestehenden XMR tun?

Nein. Ihre bestehenden Outputs, Subadressen und Ihr Seed bleiben gültig. Der Curve Tree wird aus allen ausgabefähigen Outputs zur Fork-Höhe gebaut, sodass Münzen, die Sie vor der Fork hielten, automatisch im neuen Anonymitätsset enthalten sind. Es gibt keine Migrationstransaktion, keinen Token-Tausch und kein Risiko, Mittel allein durch das Halten über die Fork zu verlieren. Einziger Vorbehalt: Halten Sie Ihre Wallet-Software aktuell, damit Sie nach dem Upgrade auch ausgeben können.

Funktionieren Hardware-Wallets weiterhin?

Trezor hat Day-One-Support zugesagt; die Firmware ist in aktiver Entwicklung und wurde bereits auf dem FCMP++-Testnet erprobt. Ledger braucht historisch länger — der Abstand zwischen Monero-Forks und Ledger-Support lag in vergangenen Upgrades im Schnitt bei sechs bis zwölf Monaten. Wenn Sie auf Ledger setzen, planen Sie entweder mit einer verzögerten Ausgabefähigkeit oder transferieren Sie Mittel vorübergehend in die offizielle CLI-Wallet, die stets erstklassigen Support für die jüngste Protokollversion hat.

Macht FCMP++ Monero post-quanten-sicher?

Nein. FCMP++ verbessert das Anonymitätsset gegenüber klassischer Chain-Analyse, erbt aber Moneros bestehende Abhängigkeit vom Diskreten-Logarithmus-Problem auf elliptischen Kurven. Ein zukünftiger Quantencomputer ausreichender Skala könnte die zugrundeliegenden Signaturen theoretisch brechen. Post-Quanten-Monero ist ein separates, längerfristiges Forschungsprojekt. Das Monero Research Lab hat gitter- und isogeniebasierte Kandidaten erörtert, aber keiner davon ist auch nur in der Nähe der Produktionsreife.

Wie wirkt sich das auf die Transaktionsgebühren aus?

Erste Schätzungen deuten darauf hin, dass die Basisgebühren um das 1,8- bis 2,5-Fache steigen, weil die Beweise größer sind als CLSAG-Signaturen. In absoluten Zahlen würde eine typische 2-Input-/2-Output-Transaktion, die heute rund einen US-Cent kostet, nach der Fork zwei bis vier Cent kosten. Der dynamische Blockgrößenmechanismus und die Tail Emission federn die Auswirkung ab, und die aggregierten Gebühren pro Kilobyte nutzlicher Daten bleiben unter den niedrigsten aller Privatsphäre-Münzen.

Kann ich während oder direkt nach der Fork anonym in XMR tauschen?

Ja, sofern der genutzte Tauschdienst das Upgrade unterstützt. MoneroSwapper und andere KYC-freie Aggregatoren pausieren rund um die Fork-Höhe typischerweise für einige Stunden neue Monero-Einzahlungen, damit Node-Betreiber upgraden können, und nehmen den Betrieb anschließend wieder auf. Mittel, die vor der Pause an eine Depotadresse gesendet werden, werden verarbeitet, sobald die Nodes nachgezogen haben. Es besteht kein Risiko eines Mittelverlusts, allenfalls eine kurze Phase verzögerter Bestätigungen. Planen Sie große Swaps entweder deutlich vor oder deutlich nach dem Fork-Fenster für den reibungslosesten Ablauf.

Fazit

FCMP++ ist genau die Art von Upgrade, die Moneros Ruf als die am aktivsten erforschte Privatsphäre-Münze in Produktion rechtfertigt. Es ersetzt eine jahrzehntealte Annahme — dass sechzehn Lockvögel genügen — durch eine kryptografische Garantie, die an die gesamte Kette geknüpft ist. Die Mathematik ist hart, die Audits sind noch in Arbeit, und der Rollout wird weder sofortig noch schmerzfrei sein, doch das Ziel ist ein Monero, in dem das Anonymitätsset nicht länger ein zu justierender Parameter ist, der sich mit der Zeit abschwächen lässt. Für alle, die auf privates Geld angewiesen sind — sei es aus regelkonformen geschäftlichen Gründen, aus persönlichem Bedürfnis nach finanzieller Privatsphäre oder weil sie in Jurisdiktionen agieren, in denen Überwachung der Standard ist — ist dieses Ziel das Warten wert. Wenn die Fork landet, wird der Tausch in XMR über MoneroSwapper exakt so funktionieren wie heute — nur dass die zugrundeliegende Privatsphäre qualitativ stärker sein wird. Setzen Sie ein Lesezeichen, achten Sie auf das v0.20-Release und aktualisieren Sie Ihre Wallet vor der Fork-Höhe.

🌍 Lesen in

English Português Español Русский 中文 Deutsch Français Italiano 한국어 日本語 Tiếng Việt ไทย Indonesia हिन्दी Türkçe العربية فارسی עברית Melayu Filipino

Artikel teilen

Ähnliche Artikel

XMR zu BTC: Instant Swap vs. Atomic Swap 2026

May 30, 2026

XMR zu BTC aus Cake Wallet tauschen: Schritt für Schritt

May 30, 2026

XMR zu BTC OTC: Großmengen-Tausch-Leitfaden 2026

May 30, 2026

Privatsphäre-Risiken beim XMR-zu-BTC-Tausch 2026

May 30, 2026

XMR zu BTC Lightning Network tauschen 2026 – Anleitung

May 30, 2026

Gefährdet Atomic Wallet die Monero-Privatsphäre?

May 30, 2026

Anonymer Monero Tausch

Kein KYC • Keine Registrierung • Sofortiger Tausch

Jetzt tauschen