آدرس‌های مخفی مونرو: ساز و کار درونی و توضیح کامل

اگر آدرس کیف پول مونروی خود را در یک مرورگر بلاک‌چین (block explorer) جست‌وجو کنید، هیچ تراکنش ورودی‌ای مشاهده نخواهید کرد. این یک اشکال یا کمبود ایندکس نیست — مرورگر بلاک‌چین به‌طور واقعی قادر نیست آدرس را به خروجی‌هایی که متعلق به شماست متصل کند. در پشت این رفتار به‌ظاهر متناقض، یکی از زیباترین قطعات رمزنگاری کاربردی در میان تمام ارزهای دیجیتال نهفته است: آدرس مخفی (stealth address). در سال ۲۰۲۶، در حالی که شرکت‌های نظارت بر زنجیره مانند Chainalysis و TRM Labs به‌صورت علنی اعتراف کرده‌اند که هنوز قادر به ردیابی پایدار گیرنده‌های مونرو نیستند، آدرس‌های مخفی همان موتور خاموشی هستند که از هر کاربر XMR محافظت می‌کنند — از یک خریدار خرد که از MoneroSwapper استفاده می‌کند تا یک روزنامه‌نگار مستقل در منطقه خاورمیانه که کمک‌های مالی دریافت می‌کند. در این مقاله دقیقاً تشریح می‌کنیم که آدرس‌های مخفی چه هستند، چگونه استخراج می‌شوند، چرا هر تراکنش یک خروجی یک‌بارمصرف منحصربه‌فرد تولید می‌کند، و در برابر چه چیزهایی محافظت می‌کنند و در برابر چه چیزهایی محافظت نمی‌کنند.

چرا حریم خصوصی گیرنده دشوارترین مسئله رمزارز است

بیت‌کوین مسئله اجماع غیرمتمرکز را حل کرد، اما حریم خصوصی گیرنده را تقریباً به‌طور کامل بدون پاسخ باقی گذاشت. وقتی علی به محمد ۰٫۱ بیت‌کوین می‌فرستد، تمام جهان می‌بیند که آدرس محمد ۰٫۱ بیت‌کوین دریافت کرده است. اگر محمد آن آدرس را دوباره استفاده کند، تمام پرداخت‌های گذشته و آینده به یکدیگر متصل می‌شوند. شیوه‌های اکتشافی (heuristic) مانند مالکیت ورودی مشترک (common-input-ownership) و خوشه‌بندی آدرس‌ها بیت‌کوین را به یکی از قابل نظارت‌ترین سیستم‌های مالی تاریخ تبدیل کرده است — مقاله‌ای از مؤسسه شبکه‌های IMDEA در سال ۲۰۲۵ نشان داد که بیش از ۷۱٪ از کیف پول‌های اصلی بیت‌کوین تنها از طریق داده‌های عمومی روی زنجیره، بدون هیچ نشت KYC، قابل ناشناسی‌زدایی هستند.

مونرو موضع مخالف را اتخاذ می‌کند: هر خروجی باید از آدرس عمومی‌ای که آن را دریافت کرده غیرقابل‌اتصال (unlinkable) باشد. سه ستون این اصل را اجرا می‌کنند:

• آدرس‌های مخفی گیرنده را پنهان می‌کنند — هیچ ناظری نمی‌تواند تشخیص دهد کدام خروجی به کدام آدرس عمومی تعلق دارد.
• امضای حلقوی (ring signature) و CLSAG فرستنده را پنهان می‌کنند — خرج‌کننده واقعی در میان ۱۵ طعمه دفن می‌شود.
• RingCT و Bulletproofs+ مبلغ را پنهان می‌کنند — فقط فرستنده و گیرنده می‌دانند چه مقدار جابه‌جا شده است.

آدرس‌های مخفی، پایه گیرنده در این سه‌پایه هستند. بدون آن‌ها، حتی امضاهای حلقوی هم مقصد را افشا می‌کردند و تضمین حریم خصوصی فرومی‌ریخت. به همین دلیل است که می‌توانید آدرس عمومی مونروی خود را با خیال راحت روی یک وب‌سایت قرار دهید، روی کارت ویزیت چاپ کنید، یا با هزاران اهداکننده به اشتراک بگذارید: مهم نیست چند پرداخت روی آن می‌نشیند، هر یک از آن‌ها یک خروجی تازه و از نظر ریاضی نامرتبط روی بلاک‌چین ایجاد می‌کند.

ریاضیات ماجرا: یک آدرس مخفی چگونه تولید می‌شود

آدرس عمومی مونرو برخلاف بیت‌کوین یک hash نیست. این آدرس از اتصال دو کلید عمومی روی منحنی بیضوی Ed25519 تشکیل شده است: یک کلید عمومی خرج (public spend key) که با حرف بزرگ B نشان داده می‌شود، و یک کلید عمومی مشاهده (public view key) که با حرف بزرگ A مشخص می‌شود. کلیدهای خصوصی متناظر، حروف کوچک b و a هستند. وقتی کسی می‌خواهد به شما XMR بفرستد، کیف پول او آدرس شما را داخل تراکنش قرار نمی‌دهد — این کار کل هدف پروتکل را شکست می‌داد. در عوض محاسبه زیر را انجام می‌دهد.

مرحله ۱: فرستنده یک کلید تراکنش تصادفی تولید می‌کند

کیف پول فرستنده برای هر تراکنش یک عدد اسکالر تصادفی تازه r انتخاب می‌کند. از روی آن، کلید عمومی تراکنش R = r·G را محاسبه می‌کند، که G نقطه پایه منحنی Ed25519 است. مقدار R به‌صورت متن آشکار در فیلد extra تراکنش منتشر می‌شود، اما به‌تنهایی هیچ چیزی درباره گیرنده افشا نمی‌کند.

مرحله ۲: فرستنده یک راز مشترک محاسبه می‌کند

فرستنده با استفاده از کلید عمومی مشاهده شما (A که در آدرس کیف پولتان قرار دارد)، راز مشترک r·A را محاسبه می‌کند. این یک تبادل کلاسیک دیفی-هلمن (Diffie-Hellman) روی منحنی است. به دلیل تقارن این عملیات، شما — و فقط شما — می‌توانید همین مقدار را به‌صورت a·R با استفاده از کلید خصوصی مشاهده خود بازمحاسبه کنید. هیچ‌کس دیگری در شبکه قادر به این کار نیست، زیرا هیچ‌کس دیگری a را در اختیار ندارد.

مرحله ۳: فرستنده یک کلید خروجی یک‌بارمصرف استخراج می‌کند

کلید عمومی یک‌بارمصرف P که در واقع روی بلاک‌چین ظاهر می‌شود به‌صورت زیر محاسبه می‌شود:

P = H_s(r·A || i)·G + B

در اینجا H_s یک تابع هش اسکالر مبتنی بر Keccak است، i شاخص خروجی درون تراکنش است (به این ترتیب تراکنش‌های چندخروجی همچنان کلیدهای منحصربه‌فرد تولید می‌کنند)، و B کلید عمومی خرج شماست. خروجی P همان چیزی است که به‌عنوان مقصد روی زنجیره ثبت می‌شود. این یک کلید ۳۲ بایتی کاملاً معمولی به‌نظر می‌رسد که از هر خروجی دیگری در هر تراکنش دیگری قابل تشخیص نیست. نکته بحرانی این است که P یک نقطه تازه و قبلاً دیده‌نشده روی منحنی است — حتی اگر همان فرستنده هزار بار به همان گیرنده پرداخت کند، تک‌تک خروجی‌ها متفاوت خواهند بود.

مرحله ۴: گیرنده اسکن می‌کند و مالکیت را تشخیص می‌دهد

کیف پول شما هر بلوک را دانلود می‌کند و برای هر خروجی، مقدار H_s(a·R || i)·G + B را محاسبه می‌کند و بررسی می‌کند آیا نتیجه با P روی زنجیره مطابقت دارد یا نه. اگر بله، آن خروجی متعلق به شماست. به همین دلیل است که همگام‌سازی کیف پول مونرو روی دستگاه‌های موبایل می‌تواند کند به‌نظر برسد: کیف پول باید هر خروجی اخیر را در برابر کلید مشاهده شما آزمایش کند. همچنین به همین دلیل است که داشتن تنها کلید مشاهده برای تشخیص تراکنش‌های ورودی کافی است، بدون آن‌که قدرت خرج‌کردن اعطا شود — این کلید می‌تواند راز مشترک را محاسبه کند اما نمی‌تواند کلید خصوصی یک‌بارمصرف لازم برای خرج را استخراج کند.

برای خرج واقعی خروجی، شما کلید خصوصی خرج b را با همان هش ترکیب می‌کنید تا کلید خصوصی یک‌بارمصرف x = H_s(a·R || i) + b را تولید کنید، که متناظر با P است. بدون b، هیچ مقداری از داده‌های کلید مشاهده به کسی اجازه نمی‌دهد وجوه را جابه‌جا کند. این جداسازی تمیز همان چیزی است که اجازه می‌دهد حسابرسان، حسابداران، یا نرم‌افزارهای مالیاتی دسترسی فقط-خواندنی به کیف پول مونرو داشته باشند بدون هیچ ریسک خرج. این موضوع به‌ویژه برای کاربران منطقه خاورمیانه که با محدودیت‌های شدید نظارتی و گاهی تحریم‌های بانکی روبه‌رو هستند اهمیت دارد: امکان حسابرسی شفاف بدون از دست‌دادن کنترل بر دارایی‌ها.

آدرس مخفی، زیرآدرس، و آدرس یکپارچه: تفاوت‌ها

مونرو در واقع سه ساختار مرتبط در سمت گیرنده ارائه می‌دهد. این‌ها حتی برای کاربران باتجربه نیز اغلب با یکدیگر اشتباه گرفته می‌شوند، پس قرار دادن آن‌ها در کنار هم مفید است.

نکته مهم: تولید آدرس مخفی در سطح پروتکل، به‌صورت خودکار، برای هر خروجی اتفاق می‌افتد، بدون توجه به این‌که مقصد آدرس اصلی، زیرآدرس، یا آدرس یکپارچه باشد. شما هرگز یک آدرس مخفی را با دست تایپ نمی‌کنید زیرا هرگز آن را نمی‌بینید — کیف پول آن را از هر آدرسی که فرستنده paste کرده استخراج می‌کند.

گام به گام: یک پرداخت واقعی از فرستنده به گیرنده

فرض کنید از یک ارائه‌دهنده میزبانی محترم به حریم خصوصی که XMR می‌پذیرد میزبانی می‌خرید. در ادامه دقیقاً آن‌چه بین لحظه‌ای که دکمه «ارسال» را می‌زنید تا لحظه‌ای که فروشنده موجودی را می‌بیند رخ می‌دهد را شرح می‌دهیم.

1. آدرس اصلی یا زیرآدرس فروشنده (رشته‌ای طولانی که با ۴ یا ۸ شروع می‌شود) را در پنجره ارسال کیف پول خود paste می‌کنید و مبلغ را وارد می‌کنید.
2. کیف پول شما یک کلید خصوصی تراکنش تصادفی r تولید می‌کند و R = r·G را محاسبه می‌کند. R همان کلید عمومی تراکنش است که همراه تراکنش خواهد بود.
3. برای هر خروجی گیرنده، کیف پول آدرس مخفی یک‌بارمصرف P = H_s(r·A || i)·G + B را با استفاده از کلیدهای عمومی مشاهده و خرج گیرنده استخراج می‌کند. یک خروجی بازگشت (change) به خودتان نیز به همان شیوه با استفاده از کلیدهای خودتان تولید می‌شود.
4. کیف پول ۱۵ خروجی طعمه از همان کلاس مبلغی از بلوک‌های قبلی انتخاب می‌کند و یک امضای حلقوی CLSAG می‌سازد به‌طوری که هر یک از ۱۶ نامزد می‌توانست خرج‌کننده واقعی باشد.
5. مبالغ با راز مشترک دیفی-هلمن رمزنگاری می‌شوند، و اثبات‌های بازه Bulletproofs+ ثابت می‌کنند که تمام مبالغ مثبت هستند بدون افشای آن‌ها.
6. تراکنش از طریق Dandelion++ منتشر می‌شود تا منشأ IP آن را از ناظران شبکه پنهان کند.
7. پس از استخراج بلوک، کیف پول فروشنده آن بلوک را اسکن می‌کند، راز مشترک a·R را برای هر مقدار R در تراکنش‌ها محاسبه می‌کند، آزمایش می‌کند که آیا هر یک از مقادیر P استخراج‌شده با خروجی‌های آن تراکنش مطابقت دارد یا نه، و موجودی را در سکوت اعتبارسنجی می‌کند.

کل این چرخه تقریباً ۲۰ ثانیه محاسبه به‌علاوه میانگین زمان بلوک ۲ دقیقه طول می‌کشد. از بیرون، تراکنش با هر تراکنش مونروی دیگر روی زنجیره یکسان به‌نظر می‌رسد: همان کلاس اندازه، همان اندازه حلقه، همان ساختار اثبات. هیچ راهی برای یک شخص ثالث — صرافی، ISP، تحلیل‌گر بلاک‌چین — وجود ندارد که با نگاه به زنجیره تشخیص دهد فروشنده وجهی دریافت کرده، چه برسد به میزان آن.

فروشنده می‌تواند همان آدرس مونرو را برای ده سال در هر صفحه از وب‌سایت خود منتشر کند و هرگز حریم خصوصی خود را به خطر نیندازد — هر پرداخت روی یک خروجی یک‌بارمصرف تازه و غیرقابل‌اتصال می‌نشیند که بلاک‌چین آن را با آدرس عمومی مرتبط نمی‌سازد.

آن‌چه آدرس‌های مخفی محافظت نمی‌کنند

حریم خصوصی رمزنگاری ضروری است اما کافی نیست. آدرس‌های مخفی از اتصال‌پذیری روی زنجیره محافظت می‌کنند، اما نمی‌توانند در برابر اشتباهات یا نشت‌های خارج از کانال محافظت کنند. شناخت محدودیت‌ها بخشی از استفاده درست از این ابزار است.

• KYC در نقطه ورود: اگر XMR را از یک صرافی متمرکز که هویت شما را تأیید کرده خریداری کنید، آن صرافی مقدار R تراکنش برداشت شما را می‌داند. آن‌ها نمی‌توانند ببینند سپس سکه‌ها را به کجا فرستاده‌اید، اما یک نقطه شروع قوی دارند. استفاده از یک سرویس تعویض بدون KYC مانند MoneroSwapper از کاشت همان ریشه در ابتدا جلوگیری می‌کند.
• استفاده مجدد آدرس خارج از زنجیره: آدرس‌های مخفی از اتصال روی زنجیره جلوگیری می‌کنند، اما اگر همان آدرس اصلی را در توییتر، GitHub، و یک پست انجمن منتشر کنید، هر کسی می‌تواند هویت‌های دنیای واقعی شما را همبستگی دهد حتی اگر نتواند تراکنش‌های شما را مرتبط کند.
• نشت کلید مشاهده: اگر یک کلید مشاهده را برای حسابرسی به اشتراک بگذارید و دستگاه آن حسابرس بعداً به خطر بیفتد، هر تراکنش ورودی گذشته و آینده به آن کیف پول برای مهاجم قابل مشاهده می‌شود. برای هر حسابرسی با کلید مشاهده از یک کیف پول اختصاصی استفاده کنید.
• استنتاج زمان‌بندی و مبلغ: یک نهاد نظارتی که هم صرافی و هم فروشنده را کنترل می‌کند نمی‌تواند خروجی روی زنجیره را مرتبط کند، اما می‌تواند زمان‌بندی و مبلغ تقریبی یک برداشت را با یک پرداخت بعدی همبسته کند. به همین دلیل مونرو توصیه می‌کند حداقل ۱۰ تأیید (حدود ۲۰ دقیقه) قبل از در نظر گرفتن وجوه به‌عنوان نهایی صبر کنید، و به همین دلیل مبالغ پرداخت نباید اثرانگشت‌های منحصربه‌فرد باشند (از ارسال ۰٫۱۲۳۴۵۶۷۸ XMR اگر فاکتور فروشنده ۰٫۱۲۳۴۵۶۷۸ یورو بود اجتناب کنید).
• فراداده در سطح IP: آدرس‌های مخفی در لایه رمزنگاری زندگی می‌کنند. حریم خصوصی در سطح شبکه توسط Dandelion++ ارائه می‌شود و با اجرای نود (node) شخصی خود روی Tor یا I2P به‌شدت بهبود می‌یابد. کیف پولی که به‌طور پیش‌فرض به یک نود راه دور تحت کنترل شخص ثالث متصل می‌شود، اتصال IP-به-کیف پول شما را به آن اپراتور نود نشت می‌دهد. برای کاربرانی که در مناطقی با نظارت شدید اینترنتی فعالیت می‌کنند، اجرای نود محلی روی Tor تقریباً یک ضرورت است نه یک گزینه.

مثال عملی: دریافت ناشناس کمک‌های مالی

یک روزنامه‌نگار مستقل در منطقه خاورمیانه را در نظر بگیرید که در یک وبلاگ افشاگری در اواخر ۲۰۲۵ مطلب منتشر می‌کند. او می‌خواهد کمک‌های مالی خوانندگان را بدون افشای هویت اهداکنندگان یا خود بپذیرد. روند کار او:

او یک آدرس اصلی مونرو را در فوتر وب‌سایت خود، در بیوگرافی PGP-امضا شده، و در پایان هر مقاله منتشر می‌کند. در طی شش ماه ۴۱۲ کمک مالی از ۰٫۰۰۱ تا ۴٫۳ XMR دریافت می‌کند. روی بلاک‌چین، هیچ‌یک از این پرداخت‌ها به آدرس منتشرشده او قابل اتصال نیست. هیچ‌یک به یکدیگر قابل اتصال نیست. مرورگرهای بلاک‌چین مانند xmrchain.net نشان می‌دهند ۴۱۲ تراکنش به ۴۱۲ خروجی یک‌بارمصرف متمایز که در هزاران بلوک پراکنده‌اند، بدون هیچ خوشه‌بندی ممکن.

وقتی می‌خواهد بخشی را برای هزینه‌های زندگی به فیات تبدیل کند، سکه‌ها را به یک صرافی KYC نمی‌فرستد — این کار رد کاغذی‌ای ایجاد می‌کرد که فعالیت کیف پول او را به هویتش متصل می‌ساخت. در عوض از یک تعویض بدون KYC استفاده می‌کند تا XMR را به یک استیبل‌کوین محترم به حریم خصوصی یا به BTC تبدیل کند که سپس از طریق یک کانال غیرامانتی (non-custodial) خرج می‌کند. از ابتدا تا انتها، هیچ واسطه متمرکزی سابقه‌ای از رابطه میان آدرس منتشرشده او و هویت دنیای واقعی او نگه نمی‌دارد. این همان مدل تهدیدی است که آدرس‌های مخفی برای آن طراحی شده‌اند، و این همان مدل تهدیدی است که جریان تعویض بدون حساب MoneroSwapper برای گسترش آن طراحی شده، با اطمینان از این‌که نقاط ورود و خروج به مونرو خودشان به بردارهای ناشناس‌زدایی تبدیل نشوند.

آینده: FCMP++ و تغییراتی برای آدرس‌های مخفی

استخراج آدرس مخفی از مقاله اصلی CryptoNote در سال ۲۰۱۴ بخشی از مونرو بوده و در طول بیش از یک دهه به‌طور بنیادی تغییر نکرده است. آن‌چه در سال ۲۰۲۶ و پس از آن در حال تغییر است، لایه حریم خصوصی سمت فرستنده است. اثبات‌های عضویت زنجیره کامل (Full-Chain Membership Proofs یا FCMP++)، که انتظار می‌رود طی یک هارد فورک در سال ۲۰۲۶ فعال شوند، امضای حلقوی فعلی ۱۶ عضوی را با یک اثبات دانش-صفر جایگزین خواهند کرد که خروجی خرج‌شده یکی از هر خروجی واجد شرایطی است که تا کنون روی زنجیره ایجاد شده — عملاً یک مجموعه ناشناسی به اندازه ده‌ها میلیون به‌جای ۱۶.

برای آدرس‌های مخفی، ریاضیات یکسان می‌ماند. یک خروجی یک‌بارمصرف هنوز هم به‌صورت P = H_s(r·A || i)·G + B استخراج می‌شود. گیرنده هنوز با محاسبه a·R اسکن می‌کند. آن‌چه تغییر می‌کند این است که وقتی گیرنده بعداً آن خروجی را خرج می‌کند، اثبات مالکیت او دیگر نیازی به اشاره به ۱۵ طعمه مشخص ندارد. در ترکیب با Seraphis و قالب آدرس Jamtis در نقشه راه بلندمدت‌تر، آدرس‌های مخفی حتی منعطف‌تر خواهند شد: Jamtis برچسب‌های آدرس را معرفی می‌کند که اجازه می‌دهد کیف پول‌های سبک به‌طور کارآمدتری اسکن کنند بدون تضعیف تضمین غیرقابل‌اتصال بودن. الگوی تبدیل پژوهش ریاضی به حریم خصوصی مستقر شده یکی از دلایلی است که مونرو در سال ۲۰۲۶ همچنان پیاده‌سازی مرجع برای حریم خصوصی گیرنده باقی می‌ماند.

پرسش‌های متداول

آیا کسی می‌تواند ببیند آدرس من چقدر XMR دریافت کرده است؟

خیر. برخلاف بیت‌کوین، که موجودی هر آدرس به‌طور عمومی قابل مشاهده است، یک آدرس اصلی مونرو اصلاً موجودی روی زنجیره ندارد. موجودی‌ها توسط کیف پول صاحب از طریق اسکن خروجی‌هایی که با استخراج آدرس مخفی مطابقت دارند محاسبه می‌شوند. یک شخص ثالث که فقط آدرس عمومی شما را دارد نمی‌تواند تعیین کند چند تراکنش دریافت کرده‌اید، چقدر، یا چه زمانی.

آیا استفاده مجدد از همان آدرس مونرو امن است؟

بله، از نظر فنی. هر پرداخت به همان آدرس همچنان یک آدرس مخفی منحصربه‌فرد روی زنجیره تولید می‌کند، پس تراکنش‌ها قابل اتصال نیستند. با این حال، برای حسابداری و حریم خصوصی عملیاتی، رویه خوب این است که برای هر طرف مقابل یک زیرآدرس تولید کنید تا اگر روزی کلید مشاهده‌ای را به اشتراک بگذارید یا یک طرف مقابل به خطر بیفتد، افشا محدود به آن زیرآدرس باشد.

تفاوت میان کلید مشاهده و آدرس مخفی چیست؟

کلید مشاهده یک کلید خصوصی است که متعلق به کیف پول شماست و به دارنده اجازه می‌دهد با بازمحاسبه استخراج‌های آدرس مخفی پرداخت‌های ورودی را تشخیص دهد. آدرس مخفی همان خروجی یک‌بارمصرف روی زنجیره است که کلید مشاهده به شما کمک می‌کند آن را پیدا کنید. کلید مشاهده آن‌ها را می‌خواند؛ آن‌ها را تولید نمی‌کند.

آیا آدرس‌های مخفی مونرو را در برابر کوانتوم مقاوم می‌سازد؟

خیر. آدرس‌های مخفی بر فرض لگاریتم گسسته روی منحنی Ed25519 تکیه می‌کنند، که یک کامپیوتر کوانتومی به‌اندازه کافی بزرگ می‌تواند با الگوریتم Shor آن را بشکند. آزمایشگاه پژوهشی مونرو چندین پیشنهاد پسا-کوانتومی در نقشه راه بلندمدت دارد، از جمله جایگزین‌های مبتنی بر شبکه (lattice-based) برای طرح فعلی، اما هیچ‌یک در سال ۲۰۲۶ مستقر نشده است. برای مدل‌های تهدیدی که شامل دشمنان کوانتومی معتبر می‌شوند، آدرس‌های مخفی کمکی نمی‌کنند.

اگر برای خودم XMR بفرستم، آیا کیف پول خودم یک آدرس مخفی تولید می‌کند؟

بله. هر خروجی — حتی بازگشت (change) به فرستنده — یک آدرس مخفی است که از کلیدهای مشاهده و خرج خودتان استخراج شده است. به همین دلیل خروجی‌های بازگشت شما نیز به آدرس اصلی شما غیرقابل اتصال هستند، و به همین دلیل یک کیف پول تازه که فقط یک ارسال به خود انجام داده روی بلاک‌چین مانند دو گیرنده مستقل به‌نظر می‌رسد.

آیا یک دادگاه یا حکم قضایی می‌تواند یک آدرس مخفی را مجبور به افشای صاحب آن کند؟

هیچ طرفی که تنها داده‌های روی زنجیره را در اختیار دارد نمی‌تواند یک آدرس مخفی را بدون کلید مشاهده به یک آدرس عمومی نگاشت کند. یک حکم قضایی می‌تواند صاحب یک کیف پول را (اگر شناخته‌شده باشد) مجبور به افشای کلید مشاهده‌اش کند، اما نمی‌تواند شبکه یا هر شخص ثالثی را مجبور به انجام استخراج معکوس کند، زیرا از نظر ریاضی چنین استخراجی وجود ندارد.

نتیجه‌گیری

آدرس‌های مخفی نیمه آرام حریم خصوصی مونرو هستند. امضاهای حلقوی و RingCT بیشترین توجه را به خود جلب می‌کنند زیرا از فرستنده و مبلغ محافظت می‌کنند، اما بدون کلیدهای خروجی یک‌بارمصرف به‌ازای هر تراکنش، آن دفاع‌ها توخالی می‌شدند — مقصد همچنان نشت می‌کرد و تحلیل زنجیره همچنان گیرنده‌ها را خوشه‌بندی می‌کرد. آن‌چه CryptoNote در سال ۲۰۱۴ درست انجام داد، و آن‌چه مونرو در طول ده سال ارتقاء حفظ کرده، شناخت این است که حریم خصوصی گیرنده ساختاری است نه اختیاری: باید در هر تراکنش، به‌طور خودکار، بدون نیاز به انتخاب کاربر، تعبیه شود. آن انتخاب ساختاری دلیلی است که چرا انتشار یک آدرس اهدای XMR به شیوه‌ای امن است که انتشار یک آدرس اهدای BTC به‌سادگی نیست.

اگر از بیت‌کوین می‌آیید و می‌خواهید این ویژگی را به‌کار بگیرید، تمیزترین گام نخست به‌دست‌آوردن مقداری XMR بدون ایجاد یک نقطه ورود متصل به هویت است. MoneroSwapper به شما اجازه می‌دهد BTC، ETH، LTC، USDT و دوازده دارایی دیگر را به مونرو تعویض کنید بدون حساب، بدون KYC، و بدون ذخیره گزارش‌هایی که بعدها همان تضمین‌های حریم خصوصی توضیح‌داده‌شده در بالا را شکست می‌دادند. وقتی سکه‌های شما در کیف پول خودتان فرود آمدند، آدرس‌های مخفی بقیه کار را به‌طور خودکار انجام می‌دهند — هر پرداختی که تا کنون دریافت کرده‌اید به هر پرداخت دیگری غیرقابل اتصال خواهد بود، و تنها فردی که می‌تواند مالکیت هر یک از آن‌ها را اثبات کند شما هستید.