Monero View Key vs Spend Key: Malinaw na Paliwanag
Monero View Key vs Spend Key: Malinaw na Paliwanag
Kung minsan kang sumubok magpadala sa iyong accountant ng patunay na nakatanggap ka ng Monero deposit nang hindi mo kailangang ibigay ang kabuuan ng iyong ipon, naranasan mo na ang problema na sinasagot ng dalawang susi na ito. Hindi tulad ng Bitcoin, kung saan iisang private key ang kumokontrol sa lahat — mula sa balanse hanggang sa paggastos — sinadyang hatiin ng Monero ang awtoridad sa pagitan ng isang view key at isang spend key. Ang paghahating ito ang dahilan kung bakit nananatiling privacy coin ang Monero ngunit kayang i-audit kapag kinailangan, kayang mag-host ng donation pages na may pampublikong balanse, at kayang magpatakbo ng lightweight mobile wallets na hinding-hindi humahawak sa iyong pondo. Gayunpaman, marami sa mga baguhan ang nagkakapalit ng dalawa, naipa-paste ang mali sa maling field, o akala nila ay kapag ibinahagi ang isang susi ay ipinapakita rin ang isa pa. Sa 2026, kung saan papalapit na ang FCMP++ sa testnet roadmap at ang mga exchange tulad ng MoneroSwapper ay namamahala ng libo-libong no-KYC swaps araw-araw, hindi na akademikong ehersisyo lang ang pag-unawa sa key separation. Ito na ang pagitan ng malinis na audit trail at ng nauubos na wallet. Lalakbayin ng gabay na ito ang eksaktong tungkulin ng bawat susi, ang mga limitasyon nito, at kung paano ginagawang kakaiba ng mga cryptographic primitives ng Monero ang pares na ito — isang bagay na hindi magagaya ng single-key model ng Bitcoin.
Bakit Dalawang Private Key ang Ginagamit ng Monero, Hindi Iisa
Ang account model ng Monero ay nagmula sa CryptoNote, ang protokol noong 2013 na nagpakilala ng ring signatures at one-time stealth addresses sa cryptocurrency. Upang gumana ang mga primitive na iyon, kailangang gampanan ng wallet ang dalawang magkaibang trabaho: i-scan ang buong blockchain upang makilala ang mga output na nakatuon sa kanya, at pahintulutan ang paggastos ng mga output na iyon. Natuklasan ng mga may-akda ng CryptoNote na ang scanning role at ang spending role ay maaaring hatiin sa dalawang malayang scalar values, bawat isa ay kinukuha mula sa 32-byte na binhi ngunit cryptographically walang kaugnayan sa kanilang public effects.
Ang resulta ay isang wallet identity na binubuo ng apat na numero — isang private spend key, isang private view key, at ang kanilang dalawang public counterparts — pinagsama at base58-encoded sa pamilyar na 95-character na Monero address. Tatlong konkretong benepisyo ang dulot ng paghahating ito:
- Selective transparency: maaari mong ibigay ang view key sa BIR, sa compliance team ng exchange, o sa auditor ng isang charity upang mapatunayan nila ang papasok na pondo, nang walang kakayahang ilipat ang mga coin.
- Lightweight clients: ang mobile wallets at watch-only desktop nodes ay kailangan lang ng view key upang maipakita ang balanse, kaya praktikal ang araw-araw na paggamit kahit nakatago ang spend key sa isang air-gapped na makina.
- Defence in depth: kung makompromiso ang view key, lumalabas lang ang transaction history at hindi ang pondo; ang pagkawala ng device ay nagiging privacy incident sa halip na financial loss.
Wala sa mga ito ang posible sa UTXO model ng Bitcoin nang walang trusted third parties o zero-knowledge add-ons. Sa Monero, nakapaloob ito mismo sa protokol, kaya ipinapakita ng bawat Monero wallet — mula sa opisyal na CLI hanggang sa hosted swap engine ng MoneroSwapper — ang dalawang susi bilang first-class objects na maaari mong i-export, i-import, at i-audit nang malaya.
Ang Private View Key, Talakayin nang Malalim
Ang private view key ay isang 32-byte na scalar, ipinapakita bilang 64 na hexadecimal characters sa mga tool tulad ng monero-wallet-cli o Feather Wallet. Ang tanging cryptographic na tungkulin nito ay ang pagkalkula ng shared secret sa pagitan ng nagpadala at tumatanggap ng bawat transaksyon na maaaring pag-aari ng wallet. Kapag may nagpadala sa iyo ng XMR, gumagawa ang sender ng isang one-time stealth address gamit ang iyong public spend key, public view key, at isang sariwang random transaction key. Ang resultang output ay parang ingay lamang sa bawat tagamasid sa network — maliban sa iyo, dahil ang iyong private view key ang nagpapahintulot mong muling buuin ang parehong shared secret at makilala ang output bilang pag-aari mo.
Ang Kayang Gawin ng View Key
Sa tulong lamang ng iyong public address at private view key, kaya ng software na i-scan ang chain at i-decrypt ang tatlong piraso ng impormasyon bawat output: ang stealth address ng tumatanggap (pagpapatunay na pag-aari mo ang output), ang halaga (na-decrypt mula sa RingCT commitment), at ang payment ID kung mayroon. Sapat na iyon upang makagawa ng kumpletong listahan ng mga papasok na transaksyon. Ginagamit ito ng mga negosyo upang bantayan ang mga benta, naglalathala ng kanilang view key ang ilang donation pages upang ma-verify ng sinuman ang totals real-time, at ginagamit ito ng tax software upang gumawa ng cost-basis reports nang hindi humihingi ng spending authority.
Ang Hindi Kayang Gawin ng View Key
Hindi kayang lagdaan ng view key ang isang transaksyon. Hindi ito makakagawa ng key image, na nangangahulugang hindi nito mapapatunayan na nagastos na ang isang output. Sa isang view-only wallet, ang mga papalabas na transaksyon ay hindi nakikita hanggang sa mag-import ang user ng isang signed key-image file mula sa offline spending wallet, at saka pa lang aayos ang balanse. Ito ang pinakamalinaw na halimbawa ng key separation sa aksyon — nakikita ng view key ang papasok na pera, ngunit nawawalan ng pananaw ito sa sandaling lumabas, maliban na lamang kung kumooperate ang spend side sa pamamagitan ng pagbabahagi ng key images.
Mga Karaniwang Pagkakamali sa View Key
Ang pinakamadalas na pagkakamali ay ang pag-paste ng view key sa isang "restore wallet" field na umaasam ng Mnemonic seed. Tatanggapin ito ng wallet, makakakuha ng ibang-ibang spend key mula sa maling entropy, at magpapakita ng isang malinis ngunit walang silbing wallet na hindi kailanman makakakita ng pondo ng user. Pangalawang pagkakamali ay ang paglalathala ng view key sa isang pampublikong pahina nang hindi napag-iisipan na permanenteng iuugnay nito ang bawat nakaraan at hinaharap na papasok na transaksyon sa isang tunay na pagkakakilanlan. Hindi nagbabago ang view keys; kapag tumagas, tumagas na ito habambuhay. Ituring ito tulad ng read-only API token sa isang bank statement: kapaki-pakinabang sa auditors, mapanira sa mga stalker.
Ang Private Spend Key, Talakayin nang Malalim
Ang private spend key ang kabilang 32-byte na scalar, at ito ang aktwal na kumokontrol sa mga coin. Mula sa iisang numerong ito, kinukuha ng wallet ang key image para sa bawat output na pag-aari nito, nilalagdaan ang bawat CLSAG ring signature, at nililikha ang Bulletproofs+ range proofs na nagpapatunay na hindi negatibo ang mga halaga nang hindi inilalantad ang mga ito. Mawalan ng spend key, mawalan ng pera. Walang recovery, walang support desk, walang chain rollback.
Paano Gumagawa ng Key Images ang Spend Key
Para sa bawat output na natatanggap ng wallet, kinakalkula ng Monero ang isang key image — isang deterministikong hash na nakadepende sa one-time public key ng output at sa private spend key ng wallet. Dahil kakaiba ang key image bawat output ngunit hindi mapeke nang walang spend key, nagsisilbi ito bilang mekanismo ng double-spend prevention ng Monero. Kapag isina-broadcast ang isang transaksyon, sinusuri ng mga validator na walang key image dito na lumitaw na sa chain dati. Ang pinakamatalinong bahagi ay hindi maibabalik ang parehong key image sa wallet na gumawa nito, dahil itinatago ng ring signature ang tunay na pumirma sa gitna ng mga decoy.
Ang Spend Key at ang Mnemonic Seed
Karamihan ng mga gumagamit ay hindi nakikita ang hilaw na 64-hex na spend key. Sa halip, nakikita nila ang isang 25-word Mnemonic seed (o isang 16-word Polyseed sa mas bagong wallets) na nag-encode sa spend key kasama ang isang checksum at birthday. Ang view key ay kinukuha nang deterministiko mula sa spend key sa pamamagitan ng pag-hash gamit ang Keccak-256 at pag-reduce modulo sa Ed25519 group order. Ang derivation na iyon ang dahilan kung bakit ang pag-back up ng spend key (o ng kanyang seed) ay sapat na upang ibalik ang buong wallet — kusang lumalabas ang view key.
Bakit Hindi Mo Dapat Ibahagi ang Spend Key
Ang pagbabahagi ng spend key ay parang pinadala mo na sa kanya ang lahat ng iyong balanse at ang iyong buong transaction history sa iisang pagkilos. Ang mga phishing site na humihingi ng "wallet verification key" o "full restore key" ay halos palaging naghahabol sa spend key o sa seed. Walang lehitimong exchange, swap service, o audit firm ang manghihingi nito. Ang MoneroSwapper, halimbawa, ay gumagawa ng sariwang integrated address bawat swap at hindi kailanman humahawak sa spend key ng customer; pinipirmahan at isina-broadcast mismo ng customer ang deposit transaction mula sa kanyang sariling wallet.
View Key vs Spend Key: Magkatabing Paghahambing
Ang talahanayan sa ibaba ay naglalapat ng mga praktikal na pagkakaiba. Gamitin ito bilang checklist bago mo i-paste ang alinmang halaga sa anumang field, screen, o QR scanner.
| Kakayahan | Private View Key | Private Spend Key |
|---|---|---|
| Makita ang papasok na transaksyon | Oo | Oo (via derived view key) |
| Makita ang papalabas na transaksyon | Kapag may imported key images lang | Oo |
| I-decrypt ang halaga | Oo | Oo |
| Pumirma at mag-broadcast ng transaksyon | Hindi | Oo |
| Gumawa ng key images | Hindi | Oo |
| Kunin ang kabilang susi | Hindi | Oo (kinukuha ang view key mula sa spend) |
| Ligtas ibahagi sa auditor | Oo | Hinding-hindi |
| Panganib kung tumagas | Pagkawala ng privacy, walang nawalang pondo | Kabuuang pagkawala ng pondo |
| Naka-store sa mnemonic seed | Derived, hindi stored | Oo |
| Pwedeng palitan | Hindi | Hindi (kailangang ilipat sa bagong wallet) |
Pansinin ang asymmetry sa row na "Kunin ang kabilang susi". Ang spend key ay kayang gumawa ng view key, ngunit hindi vice versa. Ang one-way relationship na iyon ang dahilan kung bakit ligtas ipalathala ang view key sa mga konteksto kung saan magiging mapanganib ang spend key.
Paano Gumawa ng View-Only Wallet, Hakbang-Hakbang
Ang pinakakaraniwang dahilan ng pag-iisip tungkol sa mga susing ito ay para makagawa ng watch-only wallet — halimbawa, sa isang telepono na nagsu-subaybay ng cold-storage balance na nasa air-gapped na laptop. Narito ang workflow gamit ang opisyal na monero-wallet-cli, bagaman ang Feather Wallet, Cake Wallet, at MyMonero ay may katumbas na GUI.
- Sa offline na makina, buksan ang iyong buong wallet at i-type ang
viewkeysa prompt. Kopyahin ang 64-hex string. I-type angaddressat kopyahin ang 95-character primary address. Huwag i-export ang spend key, ang seed, o anumang iba pa. - Ilipat ang dalawang string sa online device sa pamamagitan ng QR code o air-gapped USB. Huwag i-type ang spend key o seed sa online na makina kailanman.
- Sa online na makina, patakbuhin ang
monero-wallet-cli --generate-from-view-key <pangalan>. Kapag tinanong, i-paste ang address at ang private view key. Magtakda ng malakas na wallet password. - Hayaang mag-sync ang wallet mula sa chain height kung saan unang natanggap ang iyong pondo. Makikita mong lumitaw ang mga papasok na transaksyon na may tamang halaga. Ang mga papalabas na transaksyon ay magpapakita ng "(unknown sent)" hanggang sa mag-import ka ng key images.
- Upang ayusin ang mga papalabas na balanse, paminsan-minsan ay patakbuhin ang
export_key_imagessa offline wallet atimport_key_imagessa online. Hindi ito nagbabahagi ng spending power — basta't ang katotohanan na nagastos na ang ilang output.
Sinasagot ng view key ang tanong na "ano ang pumasok?" Sinasagot naman ng spend key ang tanong na "ano ang pwedeng lumabas?" Kung may serbisyong humingi sa iyo na sagutin ang ikalawang tanong, lumayas ka — walang matinong workflow ang humihingi noon.
Mga Real-World na Senaryo sa Bawat Susi
Mas tumitimo ang pagkakaiba sa pamamagitan ng konkretong halimbawa. Isipin ang isang maliit na open-source na proyekto na tumatanggap ng XMR donations. Inilalathala ng mga maintainer ang kanilang primary address at private view key sa transparency page ng proyekto. Sinuman ay maaaring magpatakbo ng lokal na view-only wallet, i-sync ang chain, at malayang i-verify kung magkano ang natanggap ng proyekto ngayong quarter. Pinananatili ng mga maintainer ang eksklusibong kontrol sa spend key sa isang hardware device, kaya walang donor — at walang dating maintainer na lumisan sa proyekto — ang makakapag-drain sa pondo. Ito ang klasikong donation-transparency pattern, at ito mismo ang sinusunod ng Monero Community Crowdfunding System sa loob ng maraming taon.
Ibang senaryo: isang freelance journalist na nakatira sa Pilipinas na nais ipakita sa kanyang tax advisor na ang kanyang annual XMR income ay nasa ilalim ng threshold ng BIR para sa karagdagang reporting. Gumagawa siya ng view-only wallet sa audit laptop ng advisor gamit ang kanyang address at view key, hinahayaan itong mag-sync sa kasalukuyang block, at nag-e-export ng CSV ng decrypted incoming amounts. Nakikita ng advisor ang kabuuang halaga; pinananatili niya ang spending authority. Kung magtatapos ang relasyon, naglilipat siya ng pondo sa isang sariwang wallet — ngunit dahil lang gusto niya ng malinis na paghihiwalay, hindi dahil kailanman ay nakaya ng advisor na ilipat ang coins.
Pangatlong halimbawa ay tungkol sa recovery. Halimbawa, ninakaw ang araw-araw na telepono ng isang user, at hawak ng telepono ang isang view-only wallet na nakuha mula sa hardware-secured spend key. Nakukuha ng magnanakaw ang kumpletong incoming transaction history ng user — isang tunay na privacy loss, lalo na kung tumatanggap ang user ng paulit-ulit na bayad mula sa mga kilalang katapat — ngunit hindi siya makakahawak kahit isang piconero. Wala namang binabawi ang user sa chain (walang revocation ang Monero) at sa halip ay naglilipat ng pondo sa isang sariwang address na nagmula sa bagong seed. Mananatiling balido ang lumang view key habambuhay para sa mga transaksyong nakita na nito, ngunit hindi nakikita ng bagong wallet.
Sa lahat ng tatlong senaryo, parehong totoo ang property: sinasagot ng view key ang mga makasaysayang at kasalukuyang tanong tungkol sa natanggap na pera; ang spend key lang ang sumasagot sa tanong ng kung saan pwedeng pumunta ang pera. Sumasandig din sa parehong property ang swap flow ng MoneroSwapper — ang mga customer ay tumatanggap ng XMR sa mga address na kontrolado nila mula sinimulan hanggang sa katapusan, at sa anumang yugto ay hindi humihingi ang platform ng susi na magpapahintulot sa kanyang gumastos sa ngalan ng customer.
Mga Konsiderasyong Pang-Pilipinas: BIR, Banko Sentral, at Privacy
Sa Pilipinas, ang regulasyon ng cryptocurrency ay nahahati sa pagitan ng Bangko Sentral ng Pilipinas (BSP) at ng Bureau of Internal Revenue (BIR). Inutusan ng BSP Circular No. 1108 ang mga Virtual Asset Service Providers (VASPs) na magrehistro at sumunod sa mga AML/CFT rules, ngunit ang self-custodial wallets tulad ng iyong Monero wallet ay hindi sakop nito sapagkat hindi sila nagbibigay ng custodial services. Kaugnay naman ng buwis, itinuturing ng BIR ang kita mula sa crypto bilang taxable income, at maaaring kailanganin ng auditor mong patunayan ang papasok na pondo upang matiyak ang tamang reporting sa BIR Form 1701 o 1701A. Sa pinakaganitong sitwasyon mismo lumilitaw ang view key bilang malaking tulong — kayang ipakita ng iyong auditor ang papasok na halaga nang hindi nila kailanman ginagalaw ang iyong pondo.
Mahalaga rin tandaan na ang pagsunod sa Data Privacy Act of 2012 (Republic Act No. 10173) ay nag-aatas na maingat ang sinumang humahawak sa personal na impormasyon na maaaring iugnay sa iyong pananalapi. Kapag inilathala mo ang iyong view key sa isang pampublikong pahina — halimbawa, para sa transparency ng isang charity na nakabase sa Quezon City o Cebu — alalahanin na ang impormasyong ito ay magagamit ng sinumang mananaliksik o digital adversary upang i-link ang iyong pampublikong identidad sa iyong financial activity. Ito ang dahilan kung bakit maraming Pilipinong privacy advocate ang nagpapanatili ng magkahiwalay na wallet para sa pampublikong transparency at para sa pribadong paggastos.
FAQ
Maaari bang nakawin ang aking Monero kung view key ko lamang ang hawak nila?
Hindi. Ang view key ay nagbibigay ng visibility sa papasok na transaksyon at halaga, ngunit hindi ito nagpapahintulot ng pagpirma, pag-generate ng key image, o anumang aksyon na magpapagalaw ng pondo. Ang tumagas na view key ay isang privacy problem — bawat nakaraan at hinaharap na deposito ay nagiging nakikita sa sinumang humawak nito — ngunit ang pondo mismo ay nananatili sa eksklusibong kontrol ng spend key.
Bakit hindi nakikita ng aking view-only wallet ang papalabas na transaksyon?
Dahil ang papalabas na transaksyon ay tinutukoy sa pamamagitan ng pagtugma ng key images, at ang key images ay kayang gumawa lamang mula sa private spend key. Nakikita ng view-only wallet na umiiral ang isang output, ngunit hindi nito masasabi kung nagastos na ito mula noon. Ang pag-import ng signed key-image file mula sa spending wallet ay nag-uugnay sa puwang at nag-aayos sa balanse.
Kinukuha ba ang view key mula sa spend key, o malaya silang dalawa?
Sa karaniwang Monero wallets, ang view key ay kinukuha nang deterministiko mula sa spend key sa pamamagitan ng pag-hash gamit ang Keccak-256 at pag-reduce ng resulta modulo sa Ed25519 group order. Ito ang dahilan kung bakit ang 25-word mnemonic seed ay nag-eencode lamang ng spend key — kusang lumalabas ang view key. May ilang advanced setup na gumagamit ng independent view keys, ngunit ang lahat ng consumer wallet ay gumagamit ng derived form.
Dapat ko bang i-back up ang dalawang susi nang magkahiwalay?
Sapat na ang pag-back up ng seed (o ng raw spend key), dahil maaaring buuin muli ang view key mula rito. Subalit, maraming users ang nag-iingat ng hiwalay na kopya ng view key sa isang lokasyong abot-kamay ng auditor sapagkat ang paggawa nito ay hindi nagpapahina sa kanilang security posture. Ituring ang seed na parang cash at ang view key na parang read-only na bank statement.
Maaari ko bang palitan ang aking view key kapag tumagas?
Hindi mag-isa. Ang view key ay matematikal na nakatali sa address, kaya ang pagpapalit nito ay nangangailangan ng paggawa ng bagong wallet (bagong seed, bagong spend key, bagong address) at paglipat ng pondo. Planuhin ang pagtagas ng view key bilang permanenteng privacy event sa habambuhay ng wallet na iyon, at maghanda ng badyet para sa migration kung hindi na matagalan ang exposure.
Iba ba ang trato ng Ledger o Trezor sa spend key?
Oo. Sa Ledger o Trezor na nagpapatakbo ng Monero app, ang spend key ay hindi kailanman umaalis sa secure element. Ang host computer ay humahawak ng view key (para makapag-scan ng chain) at nagpapadala ng unsigned transactions sa device, na nilalagdaan ito sa loob. Ito ang pinakamalinis na pisikal na pagpapatunay ng key separation: ang view key ay nakatira kung saan nakatira ang convenience, at ang spend key ay nakatira kung saan nakatira ang seguridad.
Konklusyon
Ang view key at ang spend key ay hindi dalawang kalahati ng iisang lihim — sila ay dalawang magkaibang lihim na may dalawang magkaibang trabaho, at nakukuha ng protokol ang kanyang pinakamahalagang katangian mula sa pagtanggi na pagsamahin ang mga ito. Kapag na-click na ang paghahati, ang view-only wallets, audit workflows, donation transparency, at hardware-wallet architectures ay tumitigil na maging mukhang matalinong hack at nagiging mukhang malinaw na resulta ng pinag-isipang disenyo. Kung mag-set up ka ng bagong wallet ngayon, isulat ang seed offline, kumuha ng view key para sa anumang device na hindi kailangang gumastos, at huwag i-paste ang alinmang halaga sa isang field na hindi mo matukoy nang may katiyakan. Kapag handa ka na bumili ng XMR para sa wallet na iyon, ang MoneroSwapper ay nag-aalok ng no-KYC swaps mula sa mga pangunahing asset diretso sa address na kontrolado mo, nang hindi humihingi ng anumang susi sa anumang yugto ng daloy — na, pagkatapos basahin ang gabay na ito, ay eksaktong asal na dapat mong asahan sa anumang serbisyong sulit pagkatiwalaan.
🌍 Basahin sa