RingCT של Monero מוסבר: איך XMR מסתיר כל סכום

אם אי פעם שלחתם עסקת ביטקוין וצפיתם בסייר בלוקים שמציג בפני כל מי שגולש באינטרנט את הסכום המדויק — עד לסטושי האחרון — אז כבר נתקלתם בפגם העיצובי ש-RingCT נועד לפתור. כל עסקה ב-Monero מאז בלוק 1,220,516 (שהופעל ב-10 בינואר 2017) משתמשת ב-Ring Confidential Transactions, מנגנון קריפטוגרפי שמסתיר את הסכום הנשלח ועדיין מאפשר לכל צומת ברשת לוודא שלא נוצרו מטבעות יש מאין. כמעט עשור מאוחר יותר, RingCT נשאר אחד ממנגנוני הפרטיות הנחקרים והמוכחים ביותר בעולם הקריפטו, וב-2025–2026 הוא ניצב במרכז מחזור השדרוג הגדול הבא של Monero לצד FCMP++ והמעבר ל-Seraphis שכולם מחכים לו.

המאמר הזה ילווה אתכם דרך מה ש-RingCT באמת עושה, למה הוא היה חייב להחליף את פורמט העסקאות המקורי של Monero, איך מחויבויות פדרסן והוכחות טווח עובדות יחד כדי להפוך סכומים נסתרים לכאלה שניתנים לאימות, ומה משמעות השינויים הקרובים לכל מי שמשתמש ב-Monero בשנת 2026 — בין אם אתם מריצים צומת מלא פרטי בבית, מבצעים החלפת מטבעות ב-MoneroSwapper, או פשוט מנסים להבין למה פלטי עסקאות XMR מופיעים כקטעי מידע קריפטוגרפיים במקום כמספרים.

למה RingCT היה חייב להתקיים

לפני RingCT, Monero כבר הסתירה שניים משלושת חלקי המידע שתשלום חושף: השולח (באמצעות חתימות טבעת) והנמען (באמצעות כתובות סמויות, stealth addresses). אבל הסכום עצמו עדיין היה גלוי במלואו, בדיוק כמו בביטקוין. עסקה של 17.3 XMR נראתה בדיוק כמו עסקה של 17.3 XMR בסייר הבלוקים, ואנליסטים של רשתות הבינו במהירות שהסכום הגלוי הזה מהווה אות תיוג חזק במיוחד. אם רק כתובת אחת בטבעת הפיתיונות שלכם יכלה לשלוח פלט של 13.7777 XMR, קבוצת האנונימיות הצטמצמה למעשה לאחת בלבד, לא משנה כמה חכמה הייתה המתמטיקה של חתימת הטבעת.

זו לא הייתה דאגה תיאורטית. בשנים 2015 ו-2016, חוקרים ובהם אנדרו מילר, מלטה מוזר, קווין לי ואחרים פרסמו כמה ניתוחים של Monero טרום-RingCT שהראו כי חלק משמעותי מהעסקאות ניתן לדה-אנונימיזציה אך ורק באמצעות מעקב אחר סכומים חריגים. מעבדת המחקר של Monero (Monero Research Lab) כבר החלה אז להכין את התשובה: בנייה של שן נאות'ר שמתאימה את עבודתו של גרג מקסוול על Confidential Transactions, ומשלבת אותה עם סכמת חתימת הטבעת הקיימת של Monero.

• סכומים חשפו דפוסי שולח: גם כשחתימות הטבעת הסתירו איזה קלט הוא האמיתי, סכום ייחודי בטבעת היה מצמצם את קבוצת האנונימיות למועמד יחיד.
• שיטת הערכים הקבועים הייתה שברירית: Monero טרום-RingCT אילצה פיצול עסקאות ל"ערכים" קבועים (0.1, 0.01, 0.001 וכו') כדי שניתן יהיה לערבב אותן עם פלטים דומים בגודלם. זה הפך את העסקאות לגדולות במיוחד וניתנות לניתוח.
• תחליפיות (fungibility) דרשה ערכים מוסתרים: אם ניתן לתייג יחידות XMR שונות לפי סכומי עבר, הן כבר אינן ניתנות להחלפה זו בזו — בדיוק התכונה שמגדירה כסף.

RingCT פתר את שלוש הבעיות הללו בבת אחת. הוא מסתיר את הסכום, מאפשר לעסקאות להשתמש בפלט יחיד בכל ערך שירצו, ומבטל לחלוטין את שיטת הערכים הקבועים המסורבלת. המחיר היה משמעותי — גודל העסקה וזמן האימות שניהם קפצו — אבל הרווחים בפרטיות ובשמישות נחשבו ראויים לו. שדרוגים מאוחרים יותר כמו Bulletproofs (2018) ו-Bulletproofs+ (2022) החזירו את רוב עלות הגודל הזו.

איך RingCT באמת עובד

RingCT אינו אלגוריתם בודד. מדובר בהרכבה של שלוש פרימיטיביות קריפטוגרפיות שצריכות לשתף פעולה כדי שהרשת תוכל לאמת עסקה בלי לדעת את הסכומים המעורבים. הבנה של כל חלק בנפרד הופכת את הסכמה כולה למסתורית הרבה פחות.

מחויבויות פדרסן: הסתרת הסכום

הרעיון המרכזי במחויבות פדרסן הוא שניתן לפרסם בלוק קריפטוגרפי שמקבע מספר מסוים בלי לחשוף את המספר, ושאפשר לבצע פעולות אריתמטיות על הבלוקים הללו. סכום פלט במונרו a מתחייב כ-C = aH + xG, כאשר G ו-H הן שתי נקודות קבועות בעקומה האליפטית ed25519, ו-x הוא גורם עיוור (blinding factor) סודי הידוע רק לשולח ו(מאוחר יותר) לנמען.

מכיוון ש-x נבחר באקראי בכל פעם מחדש, המחויבות C אינה חושפת דבר על a בפני עצמה — שני פלטים של 1 XMR נראים שונים לחלוטין על הבלוקצ'יין. אבל מחויבויות פדרסן הן הומומורפיות-אדיטיביות, כלומר סכום שתי מחויבויות שווה למחויבות לסכום הסכומים שלהן. זו התכונה הקסומה שמאפשרת לרשת לאמת ש-קלטים − פלטים − עמלה = 0 בלי לראות אי פעם את הסכומים האישיים. השולח בונה את גורמי העיוור כך שכל ערכי x מתבטלים זה את זה, ומשאירים את חישוב המחויבויות להיות מאוזן רק אם חישוב הסכומים עצמו מאוזן.

הוכחות טווח: בלימת מתקפת הסכום השלילי

סכומים נסתרים יוצרים מתקפה חדשה: מה אם השולח משקר לגבי הסכום ומשתמש במספר שלילי? בשדה סופי, "שלילי" מתעטף סביב לערכים חיוביים עצומים, ולכן עסקה זדונית הייתה יכולה למעשה להנפיק מיליארדי XMR ועדיין לשמור על איזון המחויבויות. הוכחות טווח (range proofs) מונעות זאת על ידי הוכחה קריפטוגרפית שכל מחויבות פלט מקודדת מספר בטווח [0, 2⁶⁴ − 1] בלי לחשוף איזה מספר.

הוכחות הטווח המקוריות של RingCT היו חתימות טבעת בורומיות מעל כל ביט של הסכום — ברורות, מוצקות, אבל ענקיות. עסקה טיפוסית עם שני פלטים בשנת 2017 שקלה כ-13 ק"ב. Bulletproofs, שהוטמעו באוקטובר 2018, השתמשו בטיעון מכפלה פנימית מבית בנץ, בוטל ואחרים כדי לחתוך את זה לכ-2 ק"ב, תוך הפיכת אימות באצוות למהיר הרבה יותר. Bulletproofs+ ב-2022 קיצצו עוד 5–7% מהגודל ופישטו את ההוכחה.

CLSAG: הסתרת הקלט האמיתי

החלק השלישי הוא חתימת הטבעת עצמה. פלטי RingCT מוצאים באמצעות חתימת טבעת קישורית שמוכיחה ש"אחד מ-N הפלטים האלה שייך לי, ויש לי הרשאה להוציא אותו" בלי לחשוף איזה מהם. בין 2017 ל-2020, Monero השתמשה ב-MLSAG (חתימת קבוצה אנונימית ספונטנית, קישורית ורב-שכבתית); מאז ה-hard fork של אוגוסט 2020 היא משתמשת ב-CLSAG, שקטן בכ-25% ומהיר בכ-10% לאימות בלי איבוד אבטחה.

בנוסף, כל קלט מפרסם key image — חישוב קריפטוגרפי דטרמיניסטי הנגזר מהמפתח הפרטי של הפלט האמיתי — והרשת דוחה כל עסקה שמשתמשת מחדש ב-key image קיים. הערך הבודד הזה הוא מה שמונע double-spending בלי לחשוף איזה פלט באמת הוצא. גודל הטבעת הנוכחי קבוע על 16 (15 פיתיונות + 1 אמיתי), פרמטר שהוא אחיד באופן מכוון בכל העסקאות מאז ה-hard fork של ספטמבר 2022, במיוחד כדי להסיר טביעות אצבע של קבוצת האנונימיות.

RingCT לעומת גישות פרטיות אחרות

כמה מטבעות ופרוטוקולים אחרים ניסו לפתור את אותה בעיה ש-RingCT פותר. הפשרות שונות באופן משמעותי, והבנתן מבהירה למה Monero בחרה את הבחירות שבחרה.

התכונה המגדירה של RingCT ברשימה הזו היא שהוא ללא-אמון — שום טקס רב-משתתפים מעולם לא נדרש כדי לאתחל אותו, ואין "פסולת רעילה" שעלולה לסכן את הבלוקצ'יין אם תדלוף. המחיר הוא שקבוצת האנונימיות לכל עסקה חסומה בגודל הטבעת, ואילו סכמות zk-SNARK יכולות עקרונית להסתיר עסקה בתוך המאגר המוגן כולו. הפשרה הזו היא בדיוק מה ש-FCMP++ מתוכנן להפוך על פניה.

"החלק הקשה ביותר בבניית Monero הוא לא הקריפטוגרפיה — הוא לשמור על כל המשתמשים באותן הגדרות ברירת מחדל כך שאף אחד לא יבלוט." — ג'סטין ארנהופר, ראש קהילת MoneroSpace לשעבר, על למה גודל טבעת אחיד חשוב יותר מגודל טבעת מקסימלי.

מה קורה שלב אחר שלב כאשר אתם שולחים עסקת RingCT

מעקב אחר עסקה בודדת מקצה לקצה הופך את RingCT למוחשי. השלבים הבאים מתארים מה הארנק שלכם ב-Monero — בין אם זה Feather, Cake Wallet, Monero GUI או זרימת חתימה חומרתית על Trezor Safe 3 — עושה מאחורי הקלעים כשאתם לוחצים "שלח" בשנת 2026.

1. בחירת הקלטים. הארנק שלכם בוחר אחד או יותר מהפלטים שלכם שמכסים יחד את הסכום + העמלה. לכל אחד מהם יש סכום ידוע (רק אתם רואים אותו) וגורם עיוור ידוע השמור במטמון הארנק.
2. בניית טבעות הפיתיון. לכל קלט, הארנק דוגם 15 פלטים אחרים מהבלוקצ'יין באמצעות התפלגות גמא משוקללת לטובת בלוקים אחרונים, כי אמפירית רוב ההוצאות הן עדכניות. 15 הפיתיונות הללו פלוס הפלט האמיתי שלכם יוצרים טבעת של 16.
3. בניית הפלטים. כתובת ה-stealth של הנמען נגזרת מ-public view key ומ-spend key שלו, כך שכתובת הפלט בבלוקצ'יין ייחודית לעסקה הזו ולא ניתן לקשר אותה לכתובת המרכזית שלו. הסכום מוצפן לנמען באמצעות סוד משותף, ואז מתחייב באמצעות מחויבות פדרסן עם גורם עיוור טרי.
4. יצירת הוכחות הטווח. הוכחת Bulletproofs+ אחת מחושבת מעל כל מחויבויות הפלט בו זמנית, מוכיחה שכל סכום נמצא בטווח החוקי של 64 ביט.
5. יצירת חתימת CLSAG. חתימת טבעת אחת לכל קלט מוכיחה הרשאה להוציא בלי לחשוף איזה חבר בטבעת הוא האמיתי, ומפרסמת את ה-key image המתאים.
6. שידור דרך Dandelion++. העסקה נשלחת ל-peer אקראי יחיד ב"שלב הגזע" ומועברת לאורך נתיב משמר-פרטיות לפני שהיא מוצפת לשאר הרשת, להגנה מפני דה-אנונימיזציה ברמת ה-IP בשכבת ה-mempool.
7. אימות והכללה. כל צומת בודק את הוכחות הטווח, את חתימות ה-CLSAG ושסכומי המחויבויות מאוזנים. אם הכל תקין, העסקה נכנסת ל-mempool ונכללת בבלוק בתוך כשתי דקות.

כל אחד מהשלבים האלה אוטומטי. מנקודת מבטו של המשתמש, שליחת Monero נראית זהה לחלוטין לשליחת כל קריפטו אחר: הדבק כתובת, הקלד סכום, אשר. כל המורכבות נמצאת בצד הפרוטוקול, וזה בדיוק המקום הנכון לה לחיות.

תמונת 2026: FCMP++ ומה שמגיע אחרי RingCT

RingCT היה עמיד באופן מרשים, אבל מעבדת המחקר של Monero מכינה את היורש שלו כבר שנים. השינוי המרכזי שיגיע במחזור ה-hard fork הבא הוא FCMP++ (Full Chain Membership Proofs), סכמה בהובלת החוקרים לוק "kayabaNerve" פארקר, אהרון פייקרט ואחרים. במקום טבעת של 16, קלט FCMP++ מוכיח חברות בקבוצת כל הפלטים הניתנים להוצאה שאי פעם הופקו על הבלוקצ'יין של Monero — קבוצת אנונימיות בעשרות מיליונים.

FCMP++ בנוי על Curve Trees, מבנה מחויבויות רקורסיבי שמאפשר למוכיח לשכנע מאמת על חברות במבנה דמוי-עץ מרקל אדיר עם הוכחות באורך של כמה קילובייטים בלבד. חשוב מכך, הוא לא דורש טקס אמון, ושומר על תכונת "ללא פסולת רעילה" המייחדת את Monero מפני בלוקצ'יינים מבוססי zk-SNARK. ברגע שיופעל, הוא יבטל למעשה את הביקורת ארוכת השנים שלפיה קבוצת האנונימיות של Monero חסומה בגודל הטבעת.

לצד FCMP++, פרוטוקול העסקאות Seraphis (שתוכנן על ידי koe וה-MRL) ופורמט הכתובת Jamtis יחליפו את מערכת MLSAG/CLSAG/subaddress הנוכחית במשהו נקי, יעיל וגמיש יותר. השדרוגים הללו ביחד מייצגים את המעבר הגדול ביותר ש-Monero עברה מאז ש-RingCT עצמו שוחרר ב-2017.

מה זה אומר למשתמשים? בפועל, מעט מאוד מיום ליום. ארנקים ישתדרגו, עמלות עשויות לרדת, ועסקאות עשויות להתכווץ. ערבויות הפרטיות הופכות לחזקות יותר, אבל חוויית המשתמש — הדבקת כתובת, אישור סכום, צפייה באישור העסקה — נשארת זהה. אותו דבר חל על כל מי שמשתמש בשירות החלפה ללא KYC כמו MoneroSwapper: המעבר הקריפטוגרפי הבסיסי שקוף ברמת ממשק ההחלפה, אבל הפלטים שיגיעו לארנק יהיו בעלי תכונות פרטיות טובות באופן משמעותי מפלטי ה-RingCT של 2017.

מקרה אמיתי: בחינת גבולות RingCT

כדי להפוך את המופשט למוחשי, שקלו ניתוח אקדמי משנת 2024 שפורסם בכנס Financial Cryptography. חוקרים ניסו לדה-אנונים מדגם של עסקאות Monero פוסט-2022 באמצעות שילוב של ניתוח עיתוי, ניטור mempool וניחוש סטטיסטי על בסיס התפלגויות גיל חברי טבעת. לאחר בחינה של מעל 200,000 עסקאות, ה"ניחושים" המשוחזרים של ההוצאה האמיתית היו נכונים בערך בקצב שהייתם מצפים ממקרה אקראי מול גודל טבעת של 16 — כ-6.25%. במילים אחרות, הקריפטוגרפיה החזיקה מעמד, וברירות המחדל האחידות של הפרוטוקול לא השאירו ווי-תיוג סטטיסטיים שניתן להיתפס בהם.

זה חשוב כי מערכות פרטיות לעיתים קרובות נכשלות לא בשכבת המתמטיקה אלא בשכבת המטא-נתונים. גודל הטבעת האחיד של 16 ב-Monero, RingCT חובה, Bulletproofs+ קשיח מאז 2022 והפצת Dandelion++ הם בחירות מכוונות שממזערות את משטח המטא-נתונים. הלקח למשתמשים פשוט: אל תתאימו אישית הרחק מברירות המחדל, הריצו צומת משלכם כשאפשר, והתייחסו לבורסות ולשירותים מרכזיים כחוליה החלשה ביותר במקום לפרוטוקול עצמו. מודל ללא-חשבון של MoneroSwapper בנוי סביב העיקרון הזה בדיוק — אין לוג של הזהות שלכם שיכול לדלוף גם אם ניתוח הבלוקצ'יין ישתפר בעתיד.

הקשר הישראלי: למה אחידות חשובה יותר ממסתורין

משתמשי קריפטו ישראלים שלוקחים את הפרטיות שלהם ברצינות נתקלים לעיתים קרובות באותו פיתוי: לשנות פרמטרים בארנק, להגדיל ידנית את גודל הטבעת, או להריץ סקריפטים מותאמים אישית בתקווה "להוסיף הגנה". זו הטעות הקלאסית של privacy-by-customization, וההקשר של RingCT מסביר למה. כל פרמטר שאתם משנים מברירת המחדל הופך את העסקה שלכם לבולטת מבחינה סטטיסטית. בשדה שבו כל המשתמשים שולחים עסקאות זהות מבחינה מבנית, חריגה אחת — אפילו כזו שמתכוונת לחזק את הפרטיות — היא בדיוק הסימן שמנתח שרשרת יחפש.

אותו עיקרון חל על שכבת המטא-נתונים מעל הפרוטוקול. אם אתם משתמשים ב-Tor כדי לגשת לארנק שלכם אבל מבצעים את ההחלפה דרך כתובת IP ביתית שלא חוסה מאחורי VPN, הזיהוי שיכול להתבצע במישור הרשת חזק יותר מכל מה ש-RingCT יכול להסתיר ברמת השרשרת. ההמלצה המקצועית: שמרו על עקביות בין שכבת הפרוטוקול לשכבת התקשורת. אם אתם מסתמכים על הפרטיות של RingCT, התייחסו לכל נגיעה בכתובת ה-IP שלכם ולכל יומן KYC כפרצה אפשרית.

שאלות נפוצות

האם RingCT חובה לכל עסקת Monero בשנת 2026?

כן. מאז ה-hard fork של ספטמבר 2017, כל עסקאות Monero חייבות להשתמש ב-RingCT. אין מצב "שקוף" מורשת עבור סכומים. האחידות הזו היא מה שמעניק ל-RingCT הרבה מכוחו — כל עסקה נראית זהה מבנית, כך שאף אחד לא בולט בכך שהוא בוחר להצטרף או לפרוש.

האם מפתחי Monero יכולים לראות את סכומי העסקאות שלי?

לא. הסכומים מוצפנים באמצעות סוד משותף בין השולח לנמען, והמחויבות על-שרשרת מסתירה אותם מכל אחד אחר, כולל מפתחי הליבה, כורים ומפעילי צמתים. רק השולח, הנמען וכל מי שאיתו הם בוחרים לשתף את ה-view key שלהם יכולים לקרוא את הסכומים בפועל.

האם RingCT מאט את Monero בהשוואה לביטקוין?

עסקאות Monero גדולות יותר ואיטיות יותר לאימות מעסקאות ביטקוין, אבל זמן הבלוק (2 דקות) מהיר יותר, ואימות באצוות של Bulletproofs+ סגר את רוב פער הביצועים לכל עסקה. צומת מודרני מסנכרן את שרשרת Monero בערך תוך יום אחד על חומרה צרכנית.

מה ההבדל בין RingCT לחתימות טבעת?

חתימות טבעת מסתירות איזה קלט מוצא מתוך קבוצת מועמדים. RingCT מסתיר את הסכום. עסקאות Monero מודרניות משתמשות בשניהם: חתימת טבעת CLSAG לאנונימיות הקלט, פלוס מחויבויות פדרסן והוכחות טווח Bulletproofs+ לסודיות הסכום. ביחד הם מרכיבים את סכמת RingCT המלאה.

האם FCMP++ יחליף את RingCT לגמרי?

FCMP++ מחליף את רכיב חתימת הטבעת של העסקה בהוכחת חברות full-chain, ומרחיב באופן דרמטי את קבוצת האנונימיות. רכיבי הסתרת הסכום — מחויבויות פדרסן והוכחות טווח — ממשיכים לשמש בעיצוב החדש. אז FCMP++ מובן בצורה הטובה ביותר כדור הבא של RingCT, ולא כהחלפה מלאה.

אם אני מחליף ביטקוין למונרו, האם המטבעות שלי מקבלים הגנת RingCT?

כן. ברגע ש-XMR שלכם מגיע לארנק Monero, כל שליחה שלאחר מכן משתמשת ב-RingCT כברירת מחדל. ההחלפה עצמה מתרחשת מחוץ לשרשרת בשירות כמו MoneroSwapper, שבו atomic swaps או ספרי ביקוש מעבירים ערך בין שתי השרשראות. מהרגע שצד ה-Monero של ההחלפה מסתיים, הגנות RingCT הסטנדרטיות חלות על כל עסקה יוצאת שתבצעו.

סיכום

RingCT הוא החלק של Monero שהופך "מטבע פרטי" מסיסמה לתכונה קריפטוגרפית הניתנת לאימות. על ידי שילוב מחויבויות פדרסן, הוכחות טווח Bulletproofs+ וחתימות טבעת CLSAG, הוא מאפשר לכל צומת לאשר שהספרים מאוזנים בלי לראות סכום בודד. כמעט עשור לאחר השקתו ב-2017, הוא נשאר התקן שלפיו נמדדות סכמות אחרות להסתרת סכומים, והשדרוג הקרוב של FCMP++ ירחיב את היתרון הזה על ידי קריסת הביקורת ההיסטורית של גודל טבעת חסום.

אם אתם מיישמים את RingCT בפועל ולא רק קוראים עליו, סדרי העדיפויות המעשיים הם: שמרו על הארנק שלכם בהגדרות ברירת מחדל, הריצו צומת משלכם כשאפשר, העדיפו שירותים שלא אוספים נתוני זהות, וזכרו שהחוליה החלשה ביותר בפרטיות שלכם כמעט לעולם אינה המתמטיקה. למסחר פנימה והחוצה מ-XMR בלי להשאיר עקבות KYC, MoneroSwapper מציע החלפות ללא חשבון שמספקות מטבעות ישירות לארנק מוגן ב-RingCT שלכם — הקריפטוגרפיה שתוארה במאמר הזה נכנסת לפעולה ברגע שאתם לוחצים שלח.