Monero Stealth-Adressen erklärt: So funktionieren sie

Wenn du deine Monero-Wallet-Adresse in einen Block-Explorer einfügst, wirst du keine deiner eingehenden Transaktionen sehen. Das ist kein Bug und kein fehlender Index – der Explorer kann die Adresse schlicht nicht mit den Outputs verknüpfen, die zu dir gehören. Hinter diesem auf den ersten Blick seltsamen Verhalten steckt eines der elegantesten Stücke angewandter Kryptografie, das es in einer Kryptowährung gibt: die Stealth-Adresse. Im Jahr 2026, in dem Chain-Surveillance-Firmen wie Chainalysis und TRM Labs öffentlich einräumen, dass sie Monero-Empfänger weiterhin nicht zuverlässig nachverfolgen können, bleiben Stealth-Adressen das stille Arbeitstier, das jeden XMR-Nutzer schützt – vom Einzelhandelskäufer, der MoneroSwapper verwendet, bis hin zur Journalistin, die Spenden empfängt. Dieser Artikel erklärt, was Stealth-Adressen genau sind, wie sie hergeleitet werden, warum jede Transaktion einen einzigartigen Einmal-Output erzeugt und wovor sie schützen – und wovor nicht.

Warum Empfänger-Privatsphäre das schwerste Problem in der Krypto-Welt ist

Bitcoin hat das Problem des dezentralen Konsenses gelöst, die Empfänger-Privatsphäre aber praktisch unangetastet gelassen. Wenn Alice an Bob 0,1 BTC schickt, sieht die ganze Welt, dass Bobs Adresse 0,1 BTC erhalten hat. Wiederverwendet Bob diese Adresse jemals, sind sämtliche vergangenen und zukünftigen Zahlungen miteinander verknüpft. Heuristiken wie Common-Input-Ownership und Address Clustering haben Bitcoin zu einem der überwachbarsten Finanzsysteme gemacht, die je gebaut wurden – eine Studie des IMDEA Networks Institute aus dem Jahr 2025 zeigte, dass mehr als 71 % der gängigen Bitcoin-Wallets allein aus öffentlichen On-Chain-Daten deanonymisiert werden können, ganz ohne KYC-Leak.

Monero verfolgt den entgegengesetzten Ansatz: Jeder Output muss von der öffentlichen Adresse, an die er gerichtet war, nicht verknüpfbar sein. Drei Säulen erzwingen das:

• Stealth-Adressen verbergen den Empfänger – kein Beobachter kann erkennen, welcher Output zu welcher öffentlichen Adresse gehört.
• Ringsignaturen und CLSAG verbergen den Sender – der tatsächliche Ausgeber verschwindet zwischen 15 Köder-Outputs.
• RingCT und Bulletproofs+ verbergen den Betrag – nur Sender und Empfänger wissen, wie viel bewegt wurde.

Stealth-Adressen sind das empfängerseitige Bein dieses Dreibeins. Ohne sie würden Ringsignaturen allein das Ziel weiterhin verraten, und die Privatsphäre-Garantie würde in sich zusammenfallen. Sie sind auch der Grund, weshalb deine öffentliche Monero-Adresse gefahrlos auf einer Webseite stehen, auf eine Visitenkarte gedruckt oder mit Tausenden Spendern geteilt werden kann: Egal wie viele Zahlungen darauf landen, jede einzelne erzeugt einen frischen, mathematisch nicht verknüpften Output auf der Blockchain.

Die Mathematik: Wie eine Stealth-Adresse entsteht

Eine öffentliche Monero-Adresse ist kein Hash wie bei Bitcoin. Sie ist die Verkettung von zwei öffentlichen Schlüsseln auf der elliptischen Kurve Ed25519: einem öffentlichen Spend-Key (großes B) und einem öffentlichen View-Key (großes A). Die entsprechenden privaten Schlüssel sind kleines b und kleines a. Wenn dir jemand XMR senden will, schreibt die Wallet des Senders nicht deine Adresse in die Transaktion – das würde den ganzen Zweck zunichtemachen. Stattdessen führt sie folgende Berechnung durch.

Schritt 1: Der Sender erzeugt einen zufälligen Transaktionsschlüssel

Die sendende Wallet wählt für jede Transaktion einen frischen Zufallsskalar r. Daraus leitet sie den öffentlichen Transaktionsschlüssel R = r·G ab, wobei G der Basispunkt der Ed25519-Kurve ist. R wird im Klartext im Extra-Feld der Transaktion veröffentlicht, verrät für sich genommen aber nichts über den Empfänger.

Schritt 2: Der Sender berechnet ein gemeinsames Geheimnis

Mit deinem öffentlichen View-Key A aus deiner Wallet-Adresse berechnet der Sender das gemeinsame Geheimnis r·A. Das ist ein klassischer Diffie-Hellman-Austausch auf der Kurve. Aufgrund der Symmetrie der Operation kannst du – und nur du – denselben Wert als a·R mit deinem privaten View-Key rekonstruieren. Niemand sonst im Netzwerk kann das, weil niemand sonst a besitzt.

Schritt 3: Der Sender leitet einen Einmal-Output-Schlüssel ab

Der öffentliche Einmal-Schlüssel P, der tatsächlich auf der Blockchain auftaucht, wird berechnet als:

P = H_s(r·A || i)·G + B

Dabei ist H_s ein keccak-basierter Skalar-Hash, i der Index des Outputs innerhalb der Transaktion (damit Multi-Output-Transaktionen weiterhin eindeutige Schlüssel erzeugen) und B dein öffentlicher Spend-Key. P ist das, was on-chain als Ziel festgehalten wird. Es sieht aus wie ein vollkommen gewöhnlicher 32-Byte-Schlüssel, ununterscheidbar von jedem anderen Output in jeder anderen Transaktion. Entscheidend ist: P ist ein frischer, nie zuvor gesehener Punkt auf der Kurve – selbst wenn derselbe Sender denselben Empfänger tausendmal bezahlt, wird jeder einzelne Output anders aussehen.

Schritt 4: Der Empfänger scannt und erkennt sein Eigentum

Deine Wallet lädt jeden Block herunter und berechnet für jeden Output H_s(a·R || i)·G + B und prüft, ob das Ergebnis mit dem on-chain stehenden P übereinstimmt. Wenn ja, gehört der Output dir. Genau deshalb kann das Wallet-Sync auf Mobilgeräten langsam wirken: Die Wallet muss jeden aktuellen Output gegen deinen View-Key testen. Genau deshalb reicht der View-Key auch allein, um eingehende Transaktionen zu erkennen, ohne irgendeine Spend-Berechtigung zu gewähren – er kann das gemeinsame Geheimnis berechnen, aber nicht den privaten Einmal-Schlüssel ableiten, der zum Ausgeben nötig wäre.

Um den Output tatsächlich auszugeben, kombinierst du deinen privaten Spend-Key b mit demselben Hash und erhältst den privaten Einmal-Schlüssel x = H_s(a·R || i) + b, der zu P gehört. Ohne b lässt sich mit keinerlei View-Key-Daten ein Cent bewegen. Diese saubere Trennung erlaubt es, Prüfern, Steuerberatern oder Steuersoftware nur Lesezugriff auf eine Monero-Wallet zu geben, ganz ohne Spend-Risiko – ein Aspekt, den deutsche Steuerpflichtige beim Nachweis ihrer XMR-Bestände gegenüber dem Finanzamt im Sinne der BMF-Vorgaben zur Mitwirkungspflicht bei privaten Veräußerungsgeschäften nach § 23 EStG nutzen können.

Stealth-Adressen vs. Subadressen vs. Integrated Addresses

Monero bringt eigentlich drei verwandte empfängerseitige Konstrukte mit. Selbst erfahrene Nutzer verwechseln sie regelmäßig, deshalb hilft es, sie nebeneinander zu stellen.

Der entscheidende Punkt: Die Erzeugung von Stealth-Adressen geschieht auf Protokollebene, automatisch, für jeden Output – unabhängig davon, ob das Ziel eine Hauptadresse, eine Subadresse oder eine Integrated Address war. Du tippst nie eine Stealth-Adresse von Hand ein, weil du nie eine siehst – die Wallet leitet sie aus der Adresse her, die der Sender eingefügt hat.

Schritt für Schritt: Eine echte Zahlung vom Sender zum Empfänger

Angenommen, du kaufst privatsphärefreundliches Hosting bei einem Anbieter, der XMR akzeptiert. So sieht der Ablauf zwischen dem Moment, in dem du auf „Senden" drückst, und dem Moment aus, in dem der Händler die Gutschrift sieht.

1. Du fügst die Hauptadresse oder Subadresse des Händlers (die lange Zeichenkette, die mit 4 oder 8 beginnt) in den Sendedialog deiner Wallet ein und gibst den Betrag ein.
2. Deine Wallet erzeugt einen zufälligen privaten Transaktionsschlüssel r und berechnet R = r·G. R ist der öffentliche Transaktionsschlüssel, der die Transaktion begleitet.
3. Für jeden Empfänger-Output leitet die Wallet die Einmal-Stealth-Adresse P = H_s(r·A || i)·G + B aus dem View- und Spend-Public-Key des Empfängers ab. Ein Wechselgeld-Output zurück an dich selbst entsteht auf demselben Weg mit deinen eigenen Schlüsseln.
4. Die Wallet wählt 15 Köder-Outputs aus früheren Blöcken in derselben Denominationsklasse und konstruiert eine CLSAG-Ringsignatur, sodass jeder der 16 Kandidaten der echte Ausgeber sein könnte.
5. Beträge werden mit dem Diffie-Hellman-Geheimnis verschlüsselt, und Bulletproofs+-Bereichsbeweise zeigen, dass alle Beträge positiv sind, ohne sie offenzulegen.
6. Die Transaktion wird über Dandelion++ verbreitet, um die Ursprungs-IP vor Netzwerkbeobachtern zu verschleiern.
7. Sobald sie gemined ist, scannt die Wallet des Händlers den Block, berechnet das gemeinsame Geheimnis a·R für jedes R aus jeder Transaktion, prüft, ob eines der abgeleiteten P-Werte mit Outputs der Transaktion übereinstimmt, und schreibt den Betrag still gut.

Der gesamte Zyklus dauert rund 20 Sekunden Rechenzeit plus die durchschnittlichen 2 Minuten Blockzeit. Von außen sieht die Transaktion identisch zu jeder anderen Monero-Transaktion auf der Kette aus: dieselbe Größenklasse, dieselbe Ringgröße, dieselbe Beweisstruktur. Es gibt keine Möglichkeit für einen Dritten – Börse, Internetanbieter, Blockchain-Analyst –, an der Kette abzulesen, dass der Händler Geld empfangen hat, geschweige denn wie viel.

Der Händler kann zehn Jahre lang dieselbe Monero-Adresse auf jeder Seite seiner Webseite anzeigen, ohne seine Privatsphäre zu kompromittieren – jede Zahlung landet auf einem frischen, nicht verknüpfbaren Einmal-Output, den die Blockchain nicht mit der öffentlichen Adresse in Verbindung bringt.

Wovor Stealth-Adressen nicht schützen

Kryptografische Privatsphäre ist notwendig, aber nicht hinreichend. Stealth-Adressen schützen die on-chain-Verknüpfbarkeit, können dich aber nicht vor Fehlern oder Leaks außerhalb der Kette bewahren. Wer die Grenzen kennt, nutzt das Werkzeug richtig.

• KYC am On-Ramp: Wenn du XMR bei einer zentralisierten Börse mit Identitätsprüfung kaufst, kennt die Börse den R-Wert deiner Auszahlungs-Transaktion. Sie kann zwar nicht sehen, wohin die Coins als Nächstes geflossen sind, hat aber einen starken Ausgangspunkt. Ein No-KYC-Swap-Dienst wie MoneroSwapper vermeidet es, diesen Anker überhaupt erst zu setzen.
• Adress-Wiederverwendung off-chain: Stealth-Adressen verhindern die on-chain-Verknüpfung, aber wenn du dieselbe Hauptadresse auf X, deinem GitHub und in einem Forenbeitrag veröffentlichst, kann jeder deine realen Identitäten korrelieren, auch wenn er deine Transaktionen nicht verknüpfen kann.
• View-Key-Leaks: Wenn du einen View-Key für eine Prüfung weitergibst und der Rechner des Prüfers später kompromittiert wird, werden alle vergangenen und zukünftigen Eingänge dieser Wallet für den Angreifer sichtbar. Verwende für View-Key-Prüfungen eine dedizierte Wallet.
• Timing- und Betragsinferenz: Eine Überwachungsstelle, die sowohl eine Börse als auch einen Händler kontrolliert, kann den on-chain-Output zwar nicht verknüpfen, aber Timing und ungefähren Betrag einer Auszahlung mit einer anschließenden Zahlung korrelieren. Deshalb empfiehlt Monero, vor der Annahme von Geldern als endgültig mindestens 10 Bestätigungen abzuwarten (rund 20 Minuten), und deshalb sollten Zahlungsbeträge keine eindeutigen Fingerabdrücke sein (sende keine 0,12345678 XMR, wenn die Rechnung über 0,12345678 EUR ausgestellt war).
• Metadaten auf IP-Ebene: Stealth-Adressen leben auf der kryptografischen Ebene. Netzwerk-Privatsphäre liefert Dandelion++ und wird stark verbessert, wenn du deinen eigenen Node über Tor oder I2P betreibst. Eine Wallet, die standardmäßig einen Remote-Node eines Dritten verwendet, gibt deine IP-zu-Wallet-Zuordnung an diesen Node-Betreiber preis.

Praxisbeispiel: Spenden anonym empfangen

Stell dir eine unabhängige Investigativ-Journalistin vor, die Ende 2025 auf einem Leak-Disclosure-Blog im deutschsprachigen Raum publiziert – etwa zu Behördenvorgängen, die in der klassischen Tageszeitung keinen Platz finden. Sie möchte Leserspenden annehmen, ohne ihre Spender oder sich selbst zu deanonymisieren. Ihr Workflow:

Sie veröffentlicht eine einzige Monero-Hauptadresse im Footer ihrer Webseite, in ihrer PGP-signierten Bio und am Ende jedes Artikels. Über sechs Monate empfängt sie 412 Spenden zwischen 0,001 und 4,3 XMR. Auf der Blockchain ist keine dieser Zahlungen mit ihrer veröffentlichten Adresse verknüpfbar. Keine ist mit den anderen verknüpfbar. Block-Explorer wie xmrchain.net zeigen 412 Transaktionen an 412 verschiedene Einmal-Outputs, verteilt über Tausende Blöcke, ohne dass irgendein Clustering möglich wäre.

Wenn sie einen Teil für Lebenshaltungskosten in Fiat umtauschen will, sendet sie die Coins nicht an eine KYC-Börse – das würde einen Papierweg schaffen, der ihre Wallet-Aktivität mit ihrer Identität verknüpft. Stattdessen nutzt sie einen No-KYC-Swap, um XMR in einen privatsphärefreundlichen Stablecoin oder in BTC umzuwandeln, das sie dann über einen nicht-verwahrenden Kanal ausgibt. Von Anfang bis Ende hält keine zentrale Stelle eine Aufzeichnung der Verbindung zwischen ihrer veröffentlichten Adresse und ihrer realen Identität. Das ist genau das Bedrohungsmodell, für das Stealth-Adressen entworfen wurden, und es ist das Bedrohungsmodell, das der No-Account-Swap-Flow von MoneroSwapper erweitert, indem er sicherstellt, dass die Ein- und Ausstiegspunkte zu Monero nicht selbst zu Deanonymisierungs-Vektoren werden.

Die Zukunft: FCMP++ und was sich für Stealth-Adressen ändert

Die Ableitung von Stealth-Adressen ist seit dem ursprünglichen CryptoNote-Paper von 2014 Teil von Monero und hat sich in über einem Jahrzehnt nicht grundlegend verändert. Was sich 2026 und danach ändert, ist die senderseitige Privatsphäre-Schicht. Full-Chain Membership Proofs (FCMP++), deren Aktivierung über einen Hard Fork im Jahr 2026 erwartet wird, ersetzen die aktuelle 16-Member-Ringsignatur durch einen Zero-Knowledge-Beweis, dass der ausgegebene Output einer aller je auf der Kette erzeugten berechtigten Outputs ist – effektiv ein Anonymitätsset von Dutzenden Millionen statt 16.

Für Stealth-Adressen bleibt die Mathematik dieselbe. Ein Einmal-Output wird weiterhin als P = H_s(r·A || i)·G + B abgeleitet. Der Empfänger scannt weiterhin durch Berechnung von a·R. Was sich ändert: Wenn der Empfänger den Output später ausgibt, muss der Beweis, dass er ihn besitzt, nicht mehr auf 15 spezifische Köder zeigen. Zusammen mit Seraphis und dem Jamtis-Adressformat auf der längerfristigen Roadmap werden Stealth-Adressen sogar flexibler: Jamtis führt Address-Tags ein, die Light-Wallets effizienteres Scannen ermöglichen, ohne die Unverknüpfbarkeitsgarantie zu schwächen. Dass mathematische Forschung in deployte Privatsphäre überführt wird, ist einer der Gründe, warum Monero auch 2026 die Referenzimplementierung für Empfänger-Privatsphäre bleibt.

FAQ

Kann jemand sehen, wie viel XMR meine Adresse empfangen hat?

Nein. Anders als bei Bitcoin, wo der Kontostand jeder Adresse öffentlich sichtbar ist, hat eine Monero-Hauptadresse überhaupt keinen on-chain-Saldo. Salden werden berechnet, indem die Wallet des Inhabers nach Outputs scannt, die zur Stealth-Adress-Ableitung passen. Ein Dritter mit nur deiner öffentlichen Adresse kann nicht bestimmen, wie viele Transaktionen du erhalten hast, in welcher Höhe oder wann.

Ist es sicher, dieselbe Monero-Adresse wiederzuverwenden?

Technisch gesehen ja. Jede Zahlung an dieselbe Adresse erzeugt weiterhin eine eindeutige on-chain-Stealth-Adresse, sodass Transaktionen nicht verknüpfbar sind. Aus Buchhaltungs- und Operations-Sicht ist es trotzdem sinnvoll, pro Gegenüber eine Subadresse zu erzeugen, damit bei der Weitergabe eines View-Keys oder einer Kompromittierung einer Gegenpartei der Schaden auf diese eine Subadresse begrenzt bleibt.

Was ist der Unterschied zwischen einem View-Key und einer Stealth-Adresse?

Ein View-Key ist ein privater Schlüssel, der zu deiner Wallet gehört und es seinem Inhaber erlaubt, eingehende Zahlungen durch Nachrechnen der Stealth-Adress-Ableitungen zu erkennen. Eine Stealth-Adresse ist der on-chain stehende Einmal-Output, den der View-Key dir auffinden hilft. Der View-Key liest sie, er erzeugt sie nicht.

Machen Stealth-Adressen Monero quantenresistent?

Nein. Stealth-Adressen beruhen auf der Diskreten-Logarithmus-Annahme auf der Ed25519-Kurve, die ein hinreichend großer Quantencomputer mit Shors Algorithmus brechen könnte. Das Monero Research Lab hat mehrere Post-Quantum-Vorschläge auf der langfristigen Roadmap, darunter gitterbasierte Ersatzkonstruktionen für das aktuelle Schema, aber keiner ist 2026 produktiv. Für Bedrohungsmodelle, die glaubhafte Quanten-Gegner einschließen, helfen Stealth-Adressen nicht.

Wenn ich mir selbst XMR sende, erzeugt meine eigene Wallet eine Stealth-Adresse?

Ja. Jeder Output – auch Wechselgeld, das an den Sender zurückgeht – ist eine Stealth-Adresse, die aus deinen eigenen View- und Spend-Keys abgeleitet wird. Deshalb sind auch deine Wechselgeld-Outputs nicht mit deiner Hauptadresse verknüpfbar, und deshalb sieht eine frische Wallet, die bisher nur einen einzigen Self-Send ausgeführt hat, auf der Blockchain wie zwei voneinander unabhängige Empfänger aus.

Kann ein Gericht oder ein Beschluss eine Stealth-Adresse zwingen, ihren Besitzer preiszugeben?

Niemand, der ausschließlich on-chain-Daten besitzt, kann eine Stealth-Adresse auf eine öffentliche Adresse zurückführen, ohne den View-Key zu kennen. Ein gerichtlicher Beschluss kann den Besitzer einer Wallet (falls bekannt) zur Herausgabe des View-Keys verpflichten, kann aber weder das Netzwerk noch einen Dritten zwingen, die umgekehrte Ableitung durchzuführen – denn mathematisch existiert eine solche nicht. Für deutsche Nutzer ist dabei relevant, dass der Auskunftsanspruch in § 100j StPO an konkrete Daten gebunden ist und nicht in eine universelle Rückrechnung eines kryptografischen Konstrukts umgedeutet werden kann.

Fazit

Stealth-Adressen sind die stille Hälfte von Moneros Privatsphäre. Ringsignaturen und RingCT bekommen die meiste Aufmerksamkeit, weil sie Sender und Betrag schützen, doch ohne Einmal-Output-Schlüssel pro Transaktion wären diese Verteidigungen hohl – das Ziel würde weiterhin durchschimmern, und Chain-Analysen würden weiterhin Empfänger clustern. Was CryptoNote 2014 richtig gemacht hat und was Monero durch zehn Jahre Upgrades fortgeführt hat, ist die Erkenntnis, dass Empfänger-Privatsphäre strukturell ist, nicht optional: Sie muss in jede einzelne Transaktion eingebacken sein, automatisch, ohne dass Nutzer sie aktiv einschalten müssen. Diese strukturelle Entscheidung ist der Grund, weshalb das Veröffentlichen einer XMR-Spendenadresse auf eine Weise sicher ist, wie es das Veröffentlichen einer BTC-Spendenadresse schlicht nicht ist.

Wenn du von Bitcoin kommst und diese Eigenschaft praktisch nutzen willst, ist der sauberste erste Schritt, dir XMR zu beschaffen, ohne dabei einen identitätsverknüpften Einstiegspunkt zu erzeugen. MoneroSwapper lässt dich BTC, ETH, LTC, USDT und ein Dutzend weitere Assets in Monero tauschen – ohne Konto, ohne KYC und ohne Logs, die später die oben beschriebenen Privatsphäre-Garantien aushebeln würden. Sobald deine Coins in deiner eigenen Wallet liegen, erledigen Stealth-Adressen den Rest automatisch – jede Zahlung, die du je empfängst, wird mit keiner anderen verknüpfbar sein, und die einzige Person, die das Eigentum an irgendeiner von ihnen nachweisen kann, bist du selbst.