MoneroSwapper MoneroSwapper
Educazione

L'algoritmo di selezione delle esche di Monero: come vengono scelti i membri dell'anello

MoneroSwapper Team · · · 10 min read · 46 views

Perché la Selezione delle Esche è Cruciale per la Privacy

Le firme ad anello di Monero funzionano mescolando un output realmente speso con un insieme di output esca estratti dalla blockchain. Quando un utente spende Monero, il suo portafoglio seleziona diversi altri output che plausibilmente potrebbero essere quello reale e costruisce una prova crittografica che il mittente possiede uno di essi senza rivelare quale. La sicurezza di questo schema dipende in modo critico da come vengono scelti le esche. Se l'algoritmo di selezione presenta bias prevedibili, l'analisi statistica può restringere quale output è la spesa reale, potenzialmente de-anonimizzando il mittente.

Considera un approccio ingenuo in cui le esche vengono selezionate uniformemente a caso da tutti gli output della blockchain. Questo sembra equo, ma crea un problema immediato. Le spese reali tendono a verificarsi relativamente presto dopo che gli output sono stati ricevuti. Le persone ricevono Monero e lo spendono nel giro di giorni o settimane, non anni. Se le esche vengono selezionate con uguale probabilità dall'intera cronologia della blockchain, la maggior parte delle esche sarà costituita da output vecchi, e l'unico output creato di recente nell'anello si distinguerà come la spesa reale più probabile. Un attaccante che conosce la distribuzione dei comportamenti di spesa può assegnare probabilità a ciascun membro dell'anello e ridurre significativamente l'anonimato effettivo.

È per questo che Monero utilizza una distribuzione di probabilità attentamente progettata per la selezione delle esche piuttosto che un campionamento casuale uniforme. L'obiettivo è far corrispondere il modello di selezione delle esche al modello di spesa effettivo così strettamente che l'analisi statistica non possa distinguere le spese reali dalle esche.

Il Modello della Distribuzione Gamma

L'attuale algoritmo di selezione delle esche di Monero utilizza una distribuzione gamma modificata per determinare l'età degli output esca. La distribuzione gamma è una distribuzione di probabilità continua che, quando parametrizzata in modo appropriato, produce una curva che assegna probabilità maggiore agli output recenti e minore a quelli più vecchi, imitando fedelmente come le persone effettivamente spendono il loro Monero.

I parametri specifici della distribuzione gamma utilizzata da Monero sono stati calibrati attraverso un'analisi empirica dei modelli di spesa sulla blockchain. I ricercatori hanno studiato la distribuzione degli intervalli di tempo tra la creazione degli output e il momento in cui vengono effettivamente spesi su un ampio campione di transazioni. La distribuzione gamma si è rivelata un buon adattamento per questo comportamento di spesa osservato.

Quando il tuo portafoglio costruisce una transazione, campiona da questa distribuzione gamma per determinare lo scarto di età per ogni esca. Seleziona poi un output effettivo dalla blockchain che corrisponda il più possibile a questa età. Il risultato è un insieme di membri dell'anello le cui età sono statisticamente indistinguibili da un insieme di spese reali, rendendo difficile per un osservatore determinare quale sia genuino basandosi solo sul timing.

Perché la Distribuzione Uniforme Non è Ottimale

Intuitivamente, si potrebbe pensare che la selezione delle esche con uguale probabilità da tutti gli output offrirebbe il miglior anonimato poiché ogni output sembra ugualmente probabile. Tuttavia, questo ragionamento è difettoso perché ignora la conoscenza dei modelli di spesa da parte dell'attaccante.

Un attaccante che sa che la maggior parte delle spese reali avviene entro pochi giorni dalla creazione dell'output può immediatamente assegnare probabilità molto basse ai membri dell'anello che hanno mesi o anni di vita. Se il processo di selezione delle esche scegliesse uniformemente, la maggior parte degli anelli conterrebbe molti output vecchi e uno o due recenti, rendendo gli output recenti candidati ovvi per la spesa reale. Selezionando invece le esche secondo la stessa distribuzione delle spese reali, ogni membro dell'anello ha un profilo di età plausibile, e la conoscenza precedente dei modelli di spesa dell'attaccante non fornisce alcun vantaggio.

Evoluzione della Dimensione dell'Anello

Il numero di membri dell'anello nelle transazioni Monero è aumentato più volte nella storia del progetto, riflettendo l'impegno continuo della community nel rafforzare la privacy.

  • Monero Iniziale (2014-2016) - Le dimensioni degli anelli erano opzionali e variabili. Gli utenti potevano scegliere la propria dimensione dell'anello, con un minimo di 3. Molti utenti sceglievano il minimo, e alcuni usavano persino dimensione 1, che non forniva alcuna privacy del mittente.
  • Dimensione minima obbligatoria 5 (2016) - Un hard fork ha stabilito una dimensione minima obbligatoria dell'anello, garantendo che tutte le transazioni fornissero almeno una privacy di base del mittente.
  • Dimensione dell'anello 7 (2018) - La dimensione minima obbligatoria è stata aumentata a 7, fornendo garanzie di anonimato più solide.
  • Dimensione dell'anello 11 (2019) - Un ulteriore aumento ha portato la dimensione dell'anello a 11, che è rimasto lo standard per diversi anni.
  • Dimensione dell'anello 16 (2024) - L'aumento più recente ha espanso gli anelli a 16 membri, aumentando significativamente l'insieme di anonimato per ogni transazione.

Ogni aumento della dimensione dell'anello rende più difficile la de-anonimizzazione statistica espandendo l'insieme delle spese reali plausibili. Tuttavia, gli anelli più grandi aumentano anche le dimensioni delle transazioni e i tempi di verifica, creando un compromesso tra privacy ed efficienza. La community valuta attentamente questi compromessi prima di ogni aumento.

L'Attacco dell'Output Avvelenato

Uno degli attacchi più studiati contro lo schema di firma ad anello di Monero è l'attacco dell'output avvelenato, noto anche come attacco di flooding o attacco euristico. In questo attacco, un avversario crea un gran numero di output sulla blockchain che controlla. Poiché l'avversario sa quali dei suoi output sono stati spesi e quali no, può eliminare i propri output dalla considerazione quando appaiono come esche negli anelli di altri utenti.

Ecco come funziona in pratica. Un avversario genera migliaia di transazioni inviando Monero a se stesso, creando un grande pool di output che controlla. Quando un utente normale crea una firma ad anello, alcune delle esche selezionate casualmente possono essere output appartenenti all'avversario. L'avversario sa se i propri output sono stati spesi, quindi può determinare che quegli output sono esche nell'anello della vittima. Eliminando le sue esche conosciute, l'avversario riduce la dimensione effettiva dell'anello, potenzialmente identificando la spesa reale.

Misure di Mitigazione

Diversi fattori mitigano l'efficacia degli attacchi agli output avvelenati. In primo luogo, eseguire l'attacco su larga scala è costoso perché richiede la creazione di molte transazioni con Monero reale, sostenendo commissioni di transazione. In secondo luogo, maggiore è la dimensione dell'anello, più output l'attaccante deve controllare per ridurre significativamente l'anonimato. Con una dimensione dell'anello di 16, un attaccante dovrebbe controllare una frazione molto grande di tutti gli output della blockchain per avere un impatto significativo. In terzo luogo, la community di Monero ha implementato restrizioni sull'età degli output e altre euristiche che rendono più difficile per gli output flood creati di recente essere selezionati come esche.

Rischi dell'Analisi Temporale

Anche con un algoritmo di selezione ben progettato, l'analisi temporale rimane una preoccupazione. L'analisi temporale sfrutta i tempi delle transazioni e degli output per fare inferenze su quale membro dell'anello è la spesa reale.

Ad esempio, se una transazione viene trasmessa immediatamente dopo la creazione di un output specifico, e quell'output appare nell'anello della transazione, c'è una probabilità maggiore che questo output sia la spesa reale. Il software del portafoglio mitiga questo garantendo che gli anelli contengano sempre un mix di età coerente con la distribuzione gamma, ma le correlazioni temporali a livello di rete possono ancora fornire indizi.

Un altro vettore di analisi temporale riguarda il monitoraggio della memory pool. Se un osservatore vede arrivare un output nel mempool Monero e poco dopo vede una nuova transazione che include questo output nel suo anello, la correlazione temporale suggerisce che l'output potrebbe essere la spesa reale. Dandelion++, il protocollo di privacy a livello di rete di Monero, aiuta a mitigare questo oscurando l'origine e il timing delle trasmissioni delle transazioni.

Debolezze Note nella Selezione Storica delle Esche

La ricerca ha identificato diverse debolezze nelle versioni precedenti dell'algoritmo di selezione delle esche di Monero. Prima che il modello della distribuzione gamma venisse adottato, l'algoritmo di selezione presentava bias che permettevano la de-anonimizzazione statistica di una frazione significativa delle transazioni. Articoli accademici hanno dimostrato che analizzando la distribuzione dell'età dei membri dell'anello in molte transazioni, i ricercatori potevano identificare la spesa reale con una precisione significativamente superiore alla probabilità casuale.

Questi risultati hanno spinto all'adozione del modello della distribuzione gamma e hanno motivato la ricerca continua per migliorare l'algoritmo di selezione. Il Monero Research Lab collabora attivamente con ricercatori accademici per identificare e affrontare le debolezze prima che possano essere sfruttate nella pratica.

Ricerche Attuali e Miglioramenti in Corso

La community di ricerca di Monero continua a studiare e perfezionare il processo di selezione delle esche. Le aree di indagine attiva includono una migliore modellazione del comportamento di spesa reale utilizzando dataset più grandi, algoritmi di selezione adattivi che regolano i loro parametri man mano che i modelli di spesa cambiano nel tempo, e tecniche per rendere il processo di selezione più resistente alla manipolazione avversaria.

Una linea di ricerca promettente prevede il raggruppamento degli output per fasce di età e la selezione all'interno di questi gruppi per creare distribuzioni dall'aspetto più naturale. Un altro approccio considera la struttura del grafo delle transazioni, evitando selezioni che creano modelli statisticamente insoliti quando vengono analizzate più transazioni insieme.

Contesto Normativo Europeo e Italiano per la Privacy delle Transazioni

Le criptovalute focalizzate sulla privacy come Monero si trovano in una situazione normativa in evoluzione in Italia e nell'Unione Europea. Il Regolamento MiCA (Markets in Crypto-Assets) entrato in vigore nel 2024 non vieta esplicitamente le criptovalute privacy, ma introduce requisiti di trasparenza per i prestatori di servizi per le cripto-attività (CASP) che potrebbero rendere difficile per gli exchange centralizzati offrire Monero. Questo ha spinto molti utenti verso soluzioni di scambio decentralizzate e atomic swap, dove la privacy è preservata senza intermediari.

L'Autorità Bancaria Europea (EBA) e la Banca d'Italia stanno monitorando attivamente gli sviluppi nel settore delle criptovalute privacy. Le linee guida antiriciclaggio dell'UE (6AMLD) richiedono che i CASP applichino procedure KYC rigorose, il che ha portato diversi exchange europei a delistare Monero per evitare complicazioni di compliance. Questa tendenza rende ancora più importante per gli utenti comprendere le caratteristiche tecniche della privacy di Monero e come utilizzarle in modo responsabile e conforme alle normative vigenti.

Per gli utenti italiani, è importante notare che l'uso personale di Monero per transazioni legittime non è illegale. La questione della conformità riguarda principalmente gli intermediari finanziari e i prestatori di servizi. I privati che utilizzano Monero devono comunque adempiere agli obblighi fiscali dichiarando le cripto-attività detenute nel quadro RW della dichiarazione dei redditi e pagando le imposte sulle plusvalenze realizzate.

FCMP++: Eliminare Completamente il Problema delle Esche

Lo sviluppo più entusiasmante nella roadmap della privacy di Monero sono le Full-Chain Membership Proofs, note come FCMP++. Questo aggiornamento del protocollo cambierà fondamentalmente il funzionamento della privacy del mittente eliminando completamente il concetto di esche.

Con FCMP++, invece di selezionare un piccolo anello di 16 output esca, ogni transazione prova che l'output realmente speso appartiene all'insieme di tutti gli output sull'intera blockchain. L'insieme di anonimato si espande da 16 a milioni, rendendo completamente impraticabile l'analisi statistica della composizione dell'anello. Non ci sono esche da analizzare perché ogni output sulla blockchain è ugualmente un candidato.

FCMP++ raggiunge questo risultato utilizzando tecniche crittografiche avanzate tra cui curve ad albero e prove a conoscenza zero che possono dimostrare efficientemente l'appartenenza a insiemi molto grandi. Il sovraccarico computazionale e di archiviazione è gestibile nonostante l'enorme insieme di anonimato, rendendo questo approccio praticabile per l'implementazione nel mondo reale.

Quando FCMP++ verrà attivato, l'intera categoria di attacchi basata sull'analisi della selezione delle esche diventerà obsoleta. Gli attacchi agli output avvelenati, l'analisi temporale della composizione degli anelli e la de-anonimizzazione statistica attraverso la corrispondenza dei modelli di spesa saranno tutti resi inefficaci. Questo rappresenta un salto quantico nelle garanzie di privacy di Monero e dimostra l'impegno del progetto per il miglioramento continuo.

Fino all'arrivo di FCMP++, l'attuale algoritmo di selezione delle esche con il suo modello di distribuzione gamma e gli anelli a 16 membri fornisce una forte privacy pratica. Per chi vuole effettuare transazioni con Monero oggi, MoneroSwapper offre scambi anonimi che completano la privacy on-chain fornita dalle firme ad anello e dalla selezione delle esche. La combinazione di una solida tecnologia crittografica e di strumenti di scambio attenti alla privacy garantisce che gli utenti possano condurre le proprie transazioni finanziarie con la massima riservatezza possibile nell'ecosistema cripto attuale.

🌍 Leggi in

English Português Español Deutsch Français Italiano Русский 中文 한국어 日本語 Türkçe ไทย Tiếng Việt Indonesia हिन्दी العربية فارسی עברית Melayu Filipino

Condividi questo articolo

Articoli correlati

10 Miti sulla Privacy Crypto Sfatati: Cosa Sbagliano in Molti

Apr 05, 2026

RandomX Spiegato: L'Algoritmo che Mantiene Monero Decentralizzato

Apr 03, 2026

L'Emissione Perpetua di Monero: Perché 0,6 XMR Per Blocco Per Sempre È Fondamentale

Apr 01, 2026

Layer 2 su Monero? Canali di Pagamento e Soluzioni di Scalabilità Esplorate

Mar 31, 2026

RingCT Approfondimento: Come Monero Nasconde gli Importi delle Transazioni

Mar 30, 2026

Monero nel Mondo Post-Quantistico: Come XMR Si Prepara al Calcolo Quantistico

Mar 29, 2026

Pronto per lo Scambio?

Miglior Exchange

Prova il nostro exchange istantaneo e anonimo →

Scambio Anonimo

Prova il nostro exchange istantaneo e anonimo →

Exchange Senza KYC

Prova il nostro exchange istantaneo e anonimo →

Scambio anonimo di Monero

Nessun KYC • Nessuna registrazione • Scambi istantanei

Scambia ora