Monero RingCT 保密交易原理详解

打开任意一个比特币区块浏览器，你就能读到链上每一笔交易的精确金额——精确到一聪。输入一个地址，你能实时查看它的余额，追溯这些币从哪里来，又流向了哪里。这种透明是比特币的刻意设计，但它同样意味着：一笔工资、一笔捐款，或者一次不经意的充值，就足以让一整个钱包暴露身份。Monero 走的是相反的路线：在它的链上，金额本身是隐藏的。让这一点成为可能的技术，就是 RingCT，全称 Ring Confidential Transactions（环形保密交易）。

正因为有 RingCT，一笔 Monero 交易出现在公开账本上时，呈现的是一段密码学承诺，而不是一个人人可读的数字。它于 2017 年 1 月上线，并在同年晚些时候成为所有交易的强制要求。你通过钱包发送的每一枚 XMR，或者通过 MoneroSwapper 这类无需注册账户的服务换到的每一枚 XMR，都受它保护。本文将拆解 RingCT 到底做了什么、网络如何在看不见金额的情况下验证一笔交易的那套数学、它如何随着 Bulletproofs 和 Bulletproofs+ 不断演进，以及它接下来会随 FCMP++ 走向何方。

为什么隐藏金额如此重要

区块链上的隐私从来不是单一的一项功能，而是三个必须同时解决的问题。只要留下其中任何一个敞口，另外两个就会顺着它泄露出去。Monero 同时攻克这三个问题，而 RingCT 负责的是第三个。

• 是谁发出的：由环签名负责。它代表一组可能的花费者来签署交易，让旁观者无法分辨哪一个输入才是真正被花掉的那个。
• 是谁收到的：由隐形地址（stealth address）技术负责。它为每一笔付款生成一个唯一的一次性地址，让资金永远不会落到一个可重复使用的公开地址上。
• 转了多少：由 RingCT 负责。它把金额加密进一个 Pedersen 承诺里，同时仍然允许每一个节点确认账目是平衡的。

在 RingCT 出现之前，Monero 已经能隐藏发送方和接收方，但金额仍以明文形式存在。为了多少获得一点金额隐私，协议当时强制把交易拆成固定面额——想象一下 0.01、0.1、1、10 这样的整额——就像你用刚好凑齐的硬币去付款一样。这种做法泄露的信息多得惊人。一个 7.3 XMR 的输出，可供选择的合理诱饵集合，要远远小于一个金额被隐藏的输出，因为诱饵必须匹配相同的面额。可见的金额还让分析者能够通过在全链上追踪相等的数值，把一笔笔交易串联起来。

保密金额堵上了这个漏洞。一旦数值被加密，每一个输出在结构上都和其他任何输出长得一模一样，这正是「可替代性」（fungibility）的根基——也就是任意一枚 XMR 都可以与另一枚互换，不存在某段「被污染」的历史会让商家或交易所拒收它。这件事的分量逐年加重。继 Binance 在 2024 年初将 XMR 从其交易盘口下架、随后多家欧洲交易所跟进之后，「一枚币的单个单位无法被筛查、无法被列入黑名单」这一诉求只会变得更有说服力。

把这件事落到一个具体画面上，会更有体感。设想某家公益组织在一条透明链上公开了一个收款地址用来募捐——初衷本是为了公开透明，结果却是：任何人都能看到它总共收到了多少、每一笔来自哪个地址、又把钱挪往了何处，甚至能顺着捐款记录反推出某些捐款人的钱包余额。而在 Monero 上，同一个募捐地址收到的每一笔款项，都是金额被隐藏的隐形输出，组织依旧能向外证明自己确实收到了捐助，旁人却无从把这些信息编织成一张监控网。透明本是美德，可一旦透明到让人无所遁形，它就会反过来变成风险。

RingCT 究竟是什么，又是怎么运作的

RingCT 中的「CT」那一半——Confidential Transactions，保密交易——才是隐藏金额的部分，它建立在一种叫做 Pedersen 承诺的密码学之上。而「Ring」那一半，则把这套金额隐藏机制接入 Monero 既有的环签名方案，让发送方同样保持匿名。把这两个概念分开来看，会更容易理解。

Pedersen 承诺：把一个数字加密，却还能对它做运算

所谓承诺，是一种把某个数值「锁定」下来的方法：你日后无法再篡改它，但当下也不必透露它是多少。一个对金额的 Pedersen 承诺，形式上写作 C = xG + aH，其中 a 是真实金额，x 是一个被称为「盲化因子」的随机秘密值，G 和 H 则是椭圆曲线上两个固定的点。盲化因子正是让承诺变得不透明的关键所在：没有它，两个金额相同的输出会产生看起来截然不同的承诺，因此你根本无法判断它们其实相等。

这里真正神奇的性质在于，这些承诺是可加的，也就是具有同态性。把一笔交易所有输入的承诺加起来，再把所有输出加上手续费的承诺也加起来，如果真实金额是平衡的，那么这两个总和就是对同一个总数的承诺。发送方会精心安排各个盲化因子，使得「输入减去输出」恰好等于一个对零的承诺。网络上的每一个节点都能验证这条等式——从而确认既没有凭空创造币，也没有销毁币——而全程都不会得知交易中任何一笔具体金额。

举个直观的例子。假设你要花掉一个 10 XMR 的输入，付 7 XMR 给对方，找零 2.98 XMR 给自己，再留 0.02 XMR 当手续费。网络看不到 10、7、2.98 这些数字，它看到的只是四段承诺。但它可以拿输入那一侧的承诺，去减输出和手续费那一侧的承诺，然后检验差值是不是恰好等于一个「对零的承诺」。是，就放行；不是，就拒绝。整个过程里，「10 减 7 减 2.98 减 0.02 等于 0」这条算式被严格验证了，可没有任何一个数字曾经露过面。

这里还藏着一个容易被忽略却至关重要的细节：曲线上的两个点 G 和 H 必须满足「没人知道它们之间的换算关系」。说得专业一点，谁都不能知道把 H 写成 G 的多少倍——也就是它们之间的离散对数。一旦有人掌握了这个关系，他就能在不改变承诺外观的情况下，神不知鬼不觉地伪造金额、凭空造币。为此，H 是通过对 G 做哈希这类「连开发者自己都无法预设结果」的方式确定下来的，密码学界把这种取值方式称作「袖中无物」（nothing-up-my-sleeve）。正是这个看似不起眼的工程细节，撑起了整套金额隐藏在数学上的可信度。

RingCT 的整个把戏在于：网络可以把账目验证到精确到一聪都平衡，却在数学上根本无法读出任何一个单项的数额。

范围证明：阻止有人凭空铸币

同态平衡有一个危险的漏洞。正因为金额是隐藏的，一个恶意发送方可能尝试去承诺一个负数金额——由于模运算的特性，这个负数会回绕成一个巨大的正数，从而让他凭空变出 XMR。为了防止这一点，每一个保密输出都会附带一份范围证明：它从密码学上保证被承诺的金额落在一个合法区间内——介于 0 与 2⁶⁴ 之间——同时又不透露它具体落在区间的哪个位置。

范围证明一直是 RingCT 体积和成本的主要来源，也是发生最大改进的地方。2017 年最初的实现采用的是 Borromean 环签名，它正确无误，却相当臃肿：一笔典型的双输出交易会携带大约 13 KB 的范围证明数据，这使得 Monero 交易体积偏大、手续费也相对较高。从那以后，替换掉这套机制就成了整个协议优化史的主线。

RingCT 的演进：Bulletproofs、Bulletproofs+ 与 CLSAG

RingCT 并不是一成不变的东西——它在 Monero 大约每半年一次的硬分叉中被多次重新设计，每一次都变得更小、更快，同时保持完全相同的隐私保证。几次重头戏级别的升级如下：

2018 年 10 月硬分叉部署的 Bulletproofs 是个转折点。通过改用一种体积随对数增长的范围证明，附在每笔交易上的数据骤然坍缩，中位数手续费也从几美元跌到了不到一美分。它是让 Monero 在今天如此便宜好用这件事上，单项贡献最大的一次改动。2022 年 8 月的 Bulletproofs+ 又挤出了一截余量，并加快了验证速度——这一点很重要，因为每一个节点都必须校验每一份证明。

环签名这一侧也在并行演进。CLSAG（Concise Linkable Spontaneous Anonymous Group signatures，简洁可链接自发匿名群签名）于 2020 年 10 月取代了更早的 MLSAG 构造，让隐藏发送方的那个组件缩小了约四分之一、验证也更快。带来 Bulletproofs+ 的那同一次 2022 年 8 月分叉，还把强制环大小从 11 提到了 16——也就是说，每一个被花掉的输出，如今是藏在 15 个诱饵之中，而不再是 10 个——并引入了视图标签，这是一个小巧的优化，让钱包在扫描链上是否有入账资金时，能跳过大部分计算工作。

Bulletproofs 的特别之处：无需可信设置

Bulletproofs 值得单独多说几句，因为它的意义远不止「把交易变小」。它由一支包含斯坦福研究者在内的团队于 2017 年提出，是一种通用的、体积随对数增长的零知识证明，如今的应用早已不限于 Monero 一隅。而对隐私币用户而言，它最关键的优点之一是：无需可信设置（trusted setup）。

这一点为什么要紧？某些零知识系统在启动时，需要先生成一组公共参数，而这个生成过程会产生一份必须被彻底销毁的「有毒废料」——一旦有人偷偷留存了它，理论上就能在不被任何人察觉的情况下，伪造出凭空铸币的证明。于是整个网络的安全，被迫去信任那场一次性仪式的诚实与彻底。Bulletproofs 干脆绕开了这道坎：它的安全性只依赖于被反复研究的标准椭圆曲线假设，既没有任何需要销毁的秘密，也不存在任何需要被信任的初始仪式。对一条把「不必信任任何人」奉为立身之本的链来说，这种性质几乎像是量身定做的。

一笔 RingCT 交易是如何一步步构建出来的

看一看当你的钱包发送 XMR 时，这些零件是如何组装起来的，会很有帮助。这一切都无需你动手——钱包会在一两秒内完成——但理解这个流程，能让你看清链上真正存在的到底是什么。

1. 选取真实输入和诱饵。钱包挑出你实际要花的那个输出，再从链上拉取另外 15 个真实输出充当诱饵，组成一个由 16 个看似都合理的来源构成的「环」。
2. 生成密钥映像（key image）。从真实输出派生出一个唯一的密钥映像。它正是网络用来侦测双花的依据，却无法被反推回它究竟来自环中的哪一个成员。
3. 创建隐形输出。对每一位收款方，钱包都计算一个一次性的隐形地址，让这笔付款无法和收款方的公开地址挂钩。
4. 承诺金额。每一个输出金额都用一个带随机盲化因子的 Pedersen 承诺包裹起来，而这些盲化因子被调配好，使得「输入减输出减手续费」承诺为零。
5. 附上范围证明。为每个输出生成一份 Bulletproofs+ 范围证明，证明被隐藏的金额非负且落在合法区间内。
6. 用 CLSAG 签名并广播。CLSAG 环签名代表整个环授权这笔花费，随后交易被中继出去——它会先通过 Dandelion++ 传播，以在进入公开内存池之前掩盖发起方的 IP。

最终落在区块链上的结果，没有可读的发送方、没有可读的接收方、也没有可读的金额——只有一堆承诺、证明，和一个充满可能性的环——然而它却能被每一个节点完整地验证。

RingCT 和其他隐私方案有何不同

要真正掂量出 RingCT 的分量，把它和加密货币世界里另外几种隐私思路摆在一起对照，会清楚得多。

最常被拿来比较的是 Zcash。Zcash 同样用上了强大的零知识密码学（zk-SNARKs），理论上能提供极高强度的隐私，但它的「屏蔽」是可选的。长期以来，链上绝大多数交易走的都是透明地址，真正进入屏蔽池的资金只占很小一部分。这带来一个微妙却致命的后果：当只有少数人启用隐私功能时，「使用隐私」这件事本身就成了一个显眼的信号，而且能供你混入的匿名集也很小。Monero 反其道而行——隐私不是一个开关，而是对每一笔交易强制生效。所有人都隐身，于是没有人因为隐身而显眼，匿名集也始终保持在全网级别。RingCT 正是这套「人人默认私密」体系中，负责金额的那一块拼图。

另一种思路，是在比特币这类透明链上事后做混币，例如 CoinJoin。它把多个用户的交易拼接在一起，以打乱彼此的关联，但金额仍然是明文的，分析者常常能凭数额的匹配，把参与方重新拆解开来；况且混币是一个需要你主动发起、还得凑齐其他参与者才能成事的额外步骤。RingCT 则把这层保护直接焊进了协议底层：你无需协调任何人，每一笔 Monero 交易在被构造出来的同一刻，金额就已经隐藏完毕。这种「默认且强制」与「可选且事后」的差别，正是 Monero 在可替代性上甩开同行的根本原因。

保密交易在实践中对你意味着什么

RingCT 在现实中的回报，就是可替代性和对监控的抵抗力，而它会在一个个具体场景里显现出来。设想一位收加密货币报酬的自由职业者。在一条透明的链上，每一个客户都能看到这个钱包的全部余额，以及它曾经收到过的每一笔其他付款；只要有一个地址被「人肉」出来，整副家底就全暴露了。而在 Monero 上，入账的这笔付款是一个金额被隐藏的隐形输出——客户除了自己发出的那笔交易之外，什么都得不到。

它也改变了「链上分析」对付你的方式。那些售卖区块链取证服务的公司，整套生意是建立在「聚类地址、追踪金额」之上的。RingCT 把金额这一信号整个抹掉，环签名搅浑了来源，隐形地址又斩断了去向的关联。没有余额可查，也没有干净的资金轨迹可循——这恰恰是为什么对隐私币的追踪至今仍是一个悬而未决的难题，而不是一项能拿来卖的产品功能。

这也正是「如何获取」很关键的原因。如果你在一个监控严密、会把你的身份和某个具体链上输出绑定起来的场所买入 XMR，那么即便链本身是私密的，你也已经亲手制造了一个已知的起点。使用像 MoneroSwapper 这样既不托管账户、也不索要身份证件的兑换服务，能让这关键的「第一跳」保持干净，这样 RingCT 在链上提供的保密性，就不会被链下的一条纸面痕迹所拆穿。

RingCT 保护不了什么：你仍需留心的环节

理解一项技术的边界，和理解它的能力同样重要。RingCT 守护的是「链上」的金额隐私，但隐私是一整条链条，它管不到链外的那些环节。把它当成万能护身符，反而容易在自己以为安全的地方栽跟头。

• 网络层的元数据。当钱包把交易广播出去时，如果不加保护，你的 IP 地址有可能和这笔交易关联起来。Monero 用 Dandelion++ 来缓解这一点，但若你追求更强的隐私，应当让钱包或所连接的节点走 Tor 或 I2P。请记住：RingCT 隐藏的是金额，而不是你的网络身份。
• 你自己的操作习惯。把链上私密的资金，提现到一个绑定了你实名、并执行 KYC 的中心化交易所，等于亲手在私密的链和你的真实身份之间架起了一座桥。RingCT 保护链上发生的一切，却保护不了你在链外主动留下的痕迹。
• 获取那一刻的源头。正如前文所说，买入 XMR 的渠道如果把你的身份和某个具体输出钉死在一起，就形成了一个已知的起点。这也正是无需账户、无需身份证件的兑换方式的价值所在。

换句话说，RingCT 给了你一条不向全世界播报金额的链；至于要不要在链外把这份隐私拱手让人，主动权始终握在你自己手里。

面向中国读者：监管现实与获取途径

对身处中国大陆的读者来说，背景和欧美并不相同，值得单独说清楚。自 2021 年 9 月中国人民银行等多部门发文，明确将虚拟货币相关业务活动定性为非法金融活动以来，境内的中心化交易所早已无法提供 XMR 的合规买卖通道。这意味着，对绝大多数大陆用户而言，「在国内交易所挂单买门罗币」这条路根本不存在。

正因如此，理解 RingCT 这类底层隐私技术，对中文世界的用户反而更有现实意义：当你无法依赖一个受本地监管、为你做合规背书的平台时，资产本身在协议层面的可替代性与抗审查性，就成了你能倚靠的为数不多的保障之一。一枚在结构上和其他所有 XMR 完全无法区分的币，不会因为它曾流经过哪个地址，而被某个下游环节单独标记出来。

从实操层面看，由于无法依赖境内交易所，大陆用户接触 Monero 的常见路径，是使用官方的 GUI 或 CLI 钱包（可在 getmonero.org 获取），再通过无需账户、无需 KYC 的兑换渠道完成币种转换。无论走哪条路，理解 RingCT 都能让你心里更有底：你手里的每一枚 XMR，在协议层面都和其余所有 XMR 别无二致，而这份「与生俱来的匿名」并不依赖任何中介替你保管或背书。

需要强调的是，本文不构成任何税务或法律建议。各国对加密资产的处置口径差异极大——在美国，无论链有多私密，美国国税局（IRS）仍把加密货币的处置视为应税事件；而在中国大陆，相关活动本身就处于被禁止的范畴，国家税务总局也尚未给出针对个人持有虚拟货币的清晰征税框架。请务必结合你所在司法辖区的实际规定行事。但有一点是确定的：网络本身不会把你的财务状况，向任何一个手握区块浏览器的人广播出去。

诱饵是怎么挑的，环又为什么定在 16

既然每笔花费都要藏进一圈诱饵里，一个自然的疑问就冒出来了：这些诱饵是随便选的吗？如果不是，又凭什么偏偏是 16 个？这两个问题，恰好点中了环签名这一侧最微妙的工程权衡，也帮你看懂金额隐私和发送方隐私是如何彼此配合的。

诱饵绝不是随手乱抓的。假如钱包只是均匀地从全链历史里随机取样，那么真正被花掉的那个输出——它往往比较「新」，因为人们通常倾向于花掉不久前才收到的币——就会淹没在一堆「陈旧」的诱饵里，反而显得格格不入。为此，Monero 的钱包会按照一条专门设计的概率分布来挑选诱饵，刻意让诱饵的「年龄」分布去贴合真实花费的统计规律，尽可能抹平真实输入与诱饵之间的差异。这也提醒我们：好的隐私不只是「加点噪音」，而是要让真实信号和噪音在统计上难以区分。

至于环大小，则是一道隐私和体积之间的权衡题。环越大，匿名集越大，统计分析的胜算就越小；可每多一个环成员，交易就得多背一份数据，节点也要多验证一分。Monero 的取舍，是把它一步步往上调——从早期的可选，到强制 5、7、11，再到 2022 年定格在 16——在隐私强度和链上开销之间寻一个能长期维持的平衡点。而 FCMP++ 之所以让人期待，恰恰是因为它有望彻底跳出这道权衡。

RingCT 的下一步：FCMP++

RingCT 对金额的隐藏坚如磐石，但它对发送方匿名性的保护存在一个理论上限：一个 16 的环，意味着真正被花掉的那一个，是 16 个候选中的一个，而统计分析偶尔能从这个概率里啃下一点。Monero 给出的答案——正在 2025 与 2026 年间积极开发中——是 FCMP++，即全链成员证明（full-chain membership proofs）。它不再是把一次花费藏在 15 个诱饵之中，而是要把它藏进链上有史以来曾经存在过的每一个符合条件的输出里，把匿名集从 16 一举扩展到数以千万计。

关键在于，FCMP++ 替换的是环签名这个组件，而不是保密交易这个组件。隐藏金额的那套 Pedersen 承诺和 Bulletproofs+ 范围证明会原封不动地保留下来；改变的只是「如何证明某笔花费属于可花费集合」这件事的方式。再往后看，Seraphis 交易协议和 Jamtis 地址方案都被设计成在这一基础之上继续构建。给用户的启示很简单：通过 RingCT 实现的金额隐私，是 Monero 中一块已经尘埃落定、相当成熟的部分，而协议仍在不断强化它周围的其他部分。

对普通用户来说，这些路线图上的进展无需你操心任何事——它们会像过去每一次升级那样，在未来的硬分叉中自动生效。你真正要记住的只有一句话：金额隐私这块地基早已浇筑完毕、坚实可靠，而 Monero 的开发者们，仍在不知疲倦地加固它周围的每一面墙。

常见问题

RingCT 到底隐藏了什么？

RingCT 隐藏的是一笔 Monero 交易的金额。它把每一个数值加密进一个 Pedersen 承诺，从而让这个数字永远不会以明文形式写进区块链，同时又仍然允许每个节点验证「输入等于输出加手续费」这条等式成立。需要分清的是，发送方和接收方是由另外的机制——分别是环签名和隐形地址——来隐藏的，RingCT 只负责金额这一块，并与它们协同工作，三者合在一起才构成 Monero 完整的隐私。

既然金额是隐藏的，网络又如何阻止假币？

有两道防线。Pedersen 承诺的同态性质让节点能够确认隐藏的输入和输出平衡为零，因此没有价值被创造或销毁。此外，附在每个输出上的范围证明保证了被承诺的金额非负且落在合法区间内，从而堵死了「隐藏的负数金额」本可能引发的那种溢出把戏。

RingCT 和环签名有什么区别？

它们解决的是不同的问题，又常因名字里都有「环」而被混淆。环签名隐藏的是谁发出了一笔交易——靠的是代表一组可能的花费者来签名。RingCT 隐藏的则是转了多少——靠的是保密承诺。RingCT 把两者整合起来，让同一笔交易同时享有这两重保护。

Bulletproofs 是不是取代了 RingCT？

不是。Bulletproofs 和 Bulletproofs+ 是 RingCT 内部的升级——具体来说是针对范围证明这个组件的。它们替换掉了更老、更臃肿的 Borromean 范围证明，把交易体积砍掉了大约 80%、手续费降低了九成有余，但整个 RingCT 框架以及它隐藏的金额始终不变。

FCMP++ 上线时，RingCT 会被移除吗？

不会。FCMP++ 计划用全链成员证明取代 Monero 的环签名，从而大幅扩大发送方的匿名集。而那套保密金额机制——Pedersen 承诺与 Bulletproofs+ 范围证明——预计会保留下来。换句话说，FCMP++ 强化的是发送方隐私，而不会撤销 RingCT 所提供的金额隐私。

如果有需要，我能向第三方证明某笔交易的金额吗？

可以。Monero 提供了「查看密钥」（view key）和交易证明机制：你能够有选择地向特定对象——比如审计方、税务顾问，或一位需要确认收款的商家——披露某笔交易的金额与收款情况，却不必交出对这笔资金的支配权。这是一种「选择性透明」：默认对全世界保密，而当你愿意时，又能向你指定的那个人证明真相。隐私与可审计性，在 Monero 上并不互相排斥——保密是默认值，揭示是你的主动选择，而非任何人的强制权力。

RingCT 这套思想是 Monero 独创的吗？

RingCT 这个具体实现确实属于 Monero，但它背后的两块基石影响极为深远。保密交易的构想最早由比特币开发者 Gregory Maxwell 提出，后来被 Monero 用环签名加以扩展、组合，才有了 RingCT 这个名字。而 Pedersen 承诺和 Bulletproofs 这类通用密码学工具，更是被加密世界里众多其他项目所采用。可以说，Monero 既是这些思想的集大成者，也是把它们贯彻得最彻底的实践场。

使用 RingCT 会让交易变慢或变贵吗？

在 2018 年 Bulletproofs 上线之前，确实会——当时臃肿的范围证明让交易体积偏大、手续费偏高。但如今情况已经天差地别：经过 Bulletproofs 和 Bulletproofs+ 的优化，一笔典型 Monero 交易的手续费通常只有不到一美分，确认节奏也与它约两分钟的出块时间相称。在 Monero 上，隐私几乎是免费的，而且是默认开启的。

普通用户需要自己去配置 RingCT 吗？

完全不需要。RingCT 自 2017 年起就是协议强制的组成部分，任何一个符合规范的钱包，在你点击「发送」的那一刻，都会自动完成承诺、范围证明和环签名的全部构建。你看不到这些细节，也不必看到——它在后台默默运转，而这恰恰是一套优秀的隐私技术该有的样子。

结语

RingCT 是 Monero 隐私体系里那头沉默的主力：它把链上每一笔金额都变成一段网络可以验证、却没有人能读懂的承诺，与此同时，范围证明又让总供应量保持诚实。再加上隐藏发送方的环签名和隐藏接收方的隐形地址，这就是为什么一个 Monero 输出和其他任何输出看起来都一模一样，既无法被筛查、无法被列入黑名单，也无法靠数额被追踪。一路经过 Bulletproofs、Bulletproofs+ 和 CLSAG，它只变得越来越便宜、越来越快；而随着 FCMP++ 在地平线上浮现，围绕它的那层隐私还在继续加深。如果你希望手里的币从拿到手的那一刻起就自带这层保护，你可以通过 MoneroSwapper 匿名购买 Monero，剩下的事，在你发起交易的那一瞬间，就交给 RingCT 去完成。