Seraphis und Jamtis: Der nächste Protokollsprung für Monero erklärt

Als das Monero Research Lab Ende 2025 still und leise den ersten auditierten Seraphis-Branch in den Test-Fork mergte, bestätigte sich, was Protokoll-Beobachter seit fast vier Jahren verfolgten: Monero bereitet die invasivste Neufassung seiner Transaktionsschicht seit der Einführung von RingCT im Jahr 2017 vor. Seraphis ist kein Feature-Update. Es ersetzt das gesamte Transaktionsprotokoll, die kryptografischen Beweise, die die Sender-Anonymität absichern, und das Adressschema, das Nutzer auf Wallet-Ebene zu sehen bekommen. Jamtis, die Adressierungsebene, die auf Seraphis aufsetzt, verabschiedet das Subadress-Format, das seit einem halben Jahrzehnt jede Monero-Wallet trägt.

Dieser Leitfaden nimmt beide auseinander — was sie sind, warum die führenden Forscher (koe, jberman, UkoeHB) tausende Stunden in ihre Entwicklung gesteckt haben, was sich für alltägliche Nutzer ändert, und wie ein No-KYC-Dienst wie MoneroSwapper die Migration abwickelt, ohne dass seine Kunden privates Spenden neu lernen müssen. Wenn du jemals XMR gesendet oder empfangen hast, wird die Adresse, die du dafür benutzt hast, irgendwann verworfen. Es ist günstiger, das Upgrade jetzt zu verstehen, als am Aktivierungstag in Panik zu geraten.

Warum Monero Seraphis überhaupt brauchte

Das aktuelle Transaktionsprotokoll von Monero ist ein geschichteter Flickenteppich. Der Basisbeweis CLSAG ersetzte MLSAG im Hard Fork vom Oktober 2020 und reduzierte die Größe der Ring-Signatur um rund 25 %, operiert aber immer noch auf einem festen Ring aus sechzehn Decoys, die aus jüngeren Outputs gesampelt werden. Sechzehn-aus-vielen klingt an der Oberfläche solide, doch statistische Heuristiken, Timing-Analysen und der sogenannte „EAE-Angriff" (Eve-Alice-Eve) nagen in gegnerischen Modellen an der Sender-Anonymität. Seit 2019 haben Forscher mehrere peer-reviewte Papiere veröffentlicht, die zeigen, wie ein gut finanzierter Analytiker mit breiter Mempool-Sicht einen nicht trivialen Anteil der Outputs probabilistisch deanonymisieren kann.

Das Fungibilitätsargument verschärft das Problem. Jeder CLSAG-Ring enthält eine echte Ausgabe und fünfzehn Decoys, doch diese Decoys sind ihrerseits Outputs früherer Transaktionen. Wenn sich zwei Transaktionen gegenseitig als Decoys referenzieren und die Kettenanalyse eine Möglichkeit ausschließen kann, schärft das die Wahrscheinlichkeit gegen die andere. Das System ist im Aggregat robust, leakt aber an den Rändern. Seraphis schließt dieses Leck, indem es das Anonymitätsset deutlich erweitert und gleichzeitig den Beweis so umstrukturiert, dass Mitgliedschaft und Eigentum entkoppelt werden.

• Größeres Anonymitätsset: Seraphis ist so ausgelegt, dass es Mitgliedschaftsbeweise über 128 oder 256 Outputs (oder mehr, je nach gewählter Kurve und Beweissystem bei der Aktivierung) unterstützt, statt nur sechzehn. Die Mathematik ist logarithmisch in der Beweisgröße, sodass 128-aus-vielen unter CLSAG nur unwesentlich mehr Bytes kostet als 16-aus-vielen.
• Sauberere Trennung der Zuständigkeiten: Heute bündelt ein einziger CLSAG-Beweis „Ich besitze einen dieser Outputs" mit „Ich habe ihn noch nicht ausgegeben". Seraphis trennt das in einen Mitgliedschaftsbeweis und einen Kompositionsbeweis. Beide können unabhängig optimiert, auditiert und aktualisiert werden.
• View-Key-Chirurgie: Der aktuelle View Key offenbart jedem, der ihn hält, jeden eingehenden Output. Auditoren, Börsen und Steuerberater bekommen alle denselben Datenstrom in voller Breite. Seraphis führt gestufte View Keys ein, sodass ein Nutzer Lesezugriff auf Eingänge gewähren kann, ohne Wechselgeld-Outputs oder Self-Spends offenzulegen.
• Austauschbare Beweise: Die Seraphis-Architektur behandelt Mitgliedschaftsbeweise als pluggable. Das aktuelle Ziel ist FCMP++ (Full-Chain Membership Proofs Plus Plus), das jedem Output auf der Kette ermöglichen würde, als potenzieller Decoy zu dienen. Das ist ein sprunghafter Anstieg von sechzehn auf alles.

Nichts davon bedeutet, dass CLSAG heute kaputt wäre. Es bedeutet, dass der Designraum sich weiterentwickelt hat, die akademische Kryptografie gereift ist und die Forschungskultur von Monero sich weigert, „gut genug" zu akzeptieren, wenn „beweisbar besser" auf dem Tisch liegt. Der Preis ist Engineering-Komplexität und ein mehrjähriger Übergang; der Nutzen ist eine Privacy-Haltung, die das nächste Jahrzehnt an Analyse-Werkzeugen überlebt.

Wie Seraphis Transaktionen umbaut

Seraphis ist ein Transaktionsprotokoll, kein einzelnes Primitiv. Um zu verstehen, was sich ändert, hilft es, durchzugehen, was beim heutigen Versand von XMR passiert, und jeden Schritt mit dem Seraphis-Äquivalent zu vergleichen. Die Unterschiede sind in der Nutzererfahrung subtil, unter der Haube aber tiefgreifend.

Von CLSAG zu Kompositions- plus Mitgliedschaftsbeweisen

Unter CLSAG sucht deine Wallet fünfzehn Decoys aus der Kette aus, baut einen Ring aus sechzehn und signiert einen Beweis, der versichert, dass einer dieser sechzehn dir gehört und dass du nicht doppelt ausgegeben hast. Unter Seraphis baut deine Wallet zwei verschiedene Beweise. Ein Kompositionsbeweis sagt: „Ich besitze rechtmäßig einen bestimmten Output in diesem Set, und hier ist das passende Key Image als Nachweis, dass ich ihn noch nicht ausgegeben habe." Ein Mitgliedschaftsbeweis sagt: „Der Output, auf den ich verweise, existiert in diesem größeren Anonymitätsset auf der Kette." Die beiden Beweise sind kryptografisch verknüpft, werden aber unabhängig generiert — und genau das macht das Anonymitätsset später erweiterbar, ohne das gesamte Transaktionsformat neu zu entwerfen.

Auch die Key Images selbst werden überarbeitet. Das heutige Key Image wird deterministisch aus dem One-Time-Output-Key und dem Spend Key abgeleitet — eine clevere Konstruktion, die jedoch seit Jahren im Fokus von Edge-Case-Forschung steht. Seraphis führt ein neues Key-Image-Format ein, das vorwärtskompatibel mit FCMP++ ist, dem Mitgliedschaftsbeweis-System, mit dem die Monero-Forscher hoffen, dass das Anonymitätsset irgendwann das gesamte UTXO-Set der Kette umfassen kann.

Carrot: Die Output-Encoding-Ebene

Carrot ist das Output-Encoding-Schema, das parallel zu Seraphis entwickelt wird. Wo heutige Outputs eine Stealth-Adresse verwenden, die aus dem öffentlichen View Key des Empfängers und einem transaktionsspezifischen geteilten Secret abgeleitet wird, fügen Carrot-Outputs neue Felder hinzu: View-Balance-Keys, Marker für interne vs. externe Outputs und Hinweise zur Vorwärtsgeheimhaltung. Praktisch bedeutet das, dass das Wallet-Scanning schneller wird (weil interne Outputs — Wechselgeld, das du an dich selbst sendest — ohne vollständige Entschlüsselung identifiziert werden können) und das View-Key-Auditing sicherer (weil der Auditor nur das sieht, was der Nutzer freigibt).

Carrot kodiert außerdem standardmäßig „Janus-Schutz". Ein Janus-Angriff liegt vor, wenn ein bösartiger Sender einen Output so konstruiert, dass er später beweisen kann, welche von zwei Empfängeradressen die Gelder erhalten hat. Das aktuelle Monero-Protokoll mildert das mit einer Subadress-Prüfung ab, doch Carrot baut die Vermeidung direkt ins Output-Format ein und eliminiert damit eine ganze Klasse von Bugs auf kryptografischer Ebene statt auf Wallet-Policy-Ebene.

Transaktionsgröße und Gebühren

Kritiker fragen oft, ob Seraphis größere Transaktionen und höhere Gebühren bedeutet. Ehrliche Antwort: kurzfristig wahrscheinlich ja, in moderatem Maße — langfristig wahrscheinlich nein. Die anfänglichen Seraphis-Beweise sind größer als CLSAG, je nach gewählter Konfiguration bei der Aktivierung vielleicht das 1,5- bis 2-fache. Aber Moneros dynamische Blockgröße sorgt dafür, dass Gebühren mit der Auslastung skalieren statt mit der rohen Byte-Zahl, und Bulletproofs+ hat bereits 2022 die Range Proofs aggressiv geschrumpft. Sobald FCMP++ ausgerollt ist und das Anonymitätsset auf kettenweite Größenordnung wächst, fällt der Byte-Preis pro Privatsphäre-Einheit gegenüber heute deutlich.

Jamtis: Die Adressierungsebene, die du tatsächlich zu sehen bekommst

Seraphis ist der Motor. Jamtis ist das Cockpit. Die meisten Nutzer werden nie einen Kompositionsbeweis lesen, aber jeder Nutzer wird eine Monero-Adresse kopieren und einfügen. Jamtis überarbeitet diese Adresse — und die Schlüssel dahinter — so, dass die Privacy-Gewinne von Seraphis sich darin widerspiegeln, wie Wallets, Börsen und Händler mit dem Netzwerk interagieren.

Heutige Monero-Adressen sind 95 Zeichen Base58, beginnen mit „4" bei primären Mainnet-Adressen oder mit „8" bei Subadressen. Sie kodieren einen öffentlichen Spend Key und einen öffentlichen View Key — und im Wesentlichen das war's. Jamtis-Adressen sind etwas kürzer oder von vergleichbarer Länge (das endgültige Format wird auf Protokollebene noch finalisiert), kodieren aber deutlich mehr Struktur: einen Adress-Index, ein Flag für den Adresstyp (Main, Exchange, Integrated oder „Auxiliary") und Authentifizierungs-Tags, die bestimmte Phishing- und Substitutionsangriffe verhindern.

Die View-Key-Stufung verdient besondere Aufmerksamkeit, weil sie ein reales Praxisproblem löst. Wenn du heute deinem Steuerberater deinen View Key gibst, sieht er jeden Output, den du jemals empfangen hast — einschließlich Wechselgeld aus deinen eigenen Ausgaben, Zahlungen zwischen deinen eigenen Subadressen und jedes Nebeneinkommen. Mit Jamtis kannst du nur die spezifische Stufe gewähren, die der Auditor wirklich braucht. Ein „Find-received"-Key offenbart eingehende Zahlungen ohne Beträge. Ein „View-incoming"-Key offenbart eingehende Zahlungen mit Beträgen, aber ohne Wechselgeld. Ein „View-balance"-Key offenbart das ausgabefähige Guthaben für Compliance-Reporting, ohne einzelne Transaktionen zu enttarnen. Nur der „View-all"-Key, den der Nutzer privat hält, sieht alles. Für die deutsche Compliance-Praxis — etwa wenn das Bundeszentralamt für Steuern oder BaFin-regulierte Verwahrer Nachweise verlangen — ist das eine substanzielle Verbesserung gegenüber dem heutigen „Alles-oder-Nichts"-Modell.

Für Dienste wie MoneroSwapper, die eine Kundeneinzahlung bestätigen müssen, ohne deren breiteren Wallet-Verlauf zu lernen, bedeutet die neue gestufte Struktur sauberere Integrationen und stärkere Privacy by Default. Der Swap-Dienst kann „du hast den vereinbarten Betrag an die vereinbarte Adresse gesendet" verifizieren, ohne jemals Einblick in das Gesamtsaldo, das Wechselgeld-Muster oder andere Eingänge des Kunden zu haben. Das ist wichtig, denn jedes Byte Metadaten, das ein datenschutzfreundlicher Dienst nicht sammelt, ist ein Byte, das nicht per Auskunftsersuchen herausgegeben, durch ein Leak abgegriffen oder per Social Engineering herausgekitzelt werden kann.

Wenn sich ein Privacy-Upgrade in einem einzigen Satz beschreiben lässt, ist es fast sicher zu einfach gedacht. Seraphis und Jamtis zusammen sind ein System: Beweise, Encoding, Adressen, Schlüsselhierarchie und Wallet-UX bewegen sich koordiniert. Betrachte sie als Paket, nicht als Feature-Liste.

Migrationsweg: So bereitest du deine Wallet vor

Der Seraphis-Hard-Fork ist zum Redaktionsschluss noch nicht terminiert; das Monero Research Lab und das Core-Team sind bei Aktivierungsdaten bewusst konservativ und bevorzugen „fertig, wenn fertig" gegenüber Kalender-Deadlines. Vergangene Monero-Hard-Forks haben Nutzern zwischen zwei und sechs Monaten Vorlauf gegeben, und Seraphis wird angesichts der Komplexität fast sicher am oberen Ende dieser Spanne landen. Hier ist eine praktische Vorbereitungs-Checkliste, die unabhängig von der genauen Aktivierungswoche trägt.

1. Prüfe dein Seed-Format. Wenn deine Wallet immer noch den 25-Wörter-Legacy-Seed verwendet, ziehe vor dem Upgrade die Migration auf eine 16-Wörter-Polyseed-Wallet in Betracht. Polyseed ist vorwärtskompatibel mit den Jamtis-Ableitungspfaden; der Legacy-Seed wird zum Fork-Zeitpunkt einen Konvertierungsschritt auf Wallet-Seite erfordern.
2. Aktualisiere deine Wallet-Software vor dem Fork mindestens zweimal. Die Teams hinter Monero GUI, CLI, Feather Wallet und Cake Wallet veröffentlichen typischerweise mehrere Pre-Fork-Releases. Verfolge die offiziellen Monero-Release-Notes und das Changelog deiner Wallet ab dem Monat vor der Aktivierung — verlasse dich nicht allein auf Auto-Updates, da manche Wallets Major-Upgrades hinter einer manuellen Bestätigung gaten.
3. Übe die volle Wiederherstellung aus dem Seed auf einem Ersatzgerät. Vor jedem großen Protokoll-Upgrade ist die wertvollste Risiko-Kontrolle, zu verifizieren, dass dein notierter Seed deine Gelder tatsächlich wiederherstellt. Spinne eine saubere Monero CLI oder Feather Wallet auf einer separaten Maschine hoch, stelle aus dem Seed wieder her und prüfe, dass das Guthaben stimmt. Mach das zweimal. Mach das alle sechs Monate, auch außerhalb von Upgrades.
4. Identifiziere und reduziere deinen Subadressen-Wildwuchs. Nutzer, die dutzende Subadressen aus organisatorischen Gründen verwendet haben (eine pro Gegenpartei, eine pro Händler usw.), haben eine etwas komplexere Migration. Gelder vor dem Fork auf einen kleineren Satz Subadressen zu konsolidieren — und jede klar in deiner Wallet zu labeln — macht das Post-Fork-Mentalmodell deutlich einfacher.
5. Dokumentiere deine View-Key-Sharing-Beziehungen. Wenn du deinen View Key mit einem Steuerberater, einer Börse oder einem Audit-Tool geteilt hast, schreib dir auf, wer ihn hat und warum. Nach der Jamtis-Aktivierung wirst du diese Beziehungen wahrscheinlich rotieren wollen, sodass sie die neuen gestuften Keys statt des Legacy-Full-View-Keys verwenden.
6. Achte auf „Post-Fork-Sweep"-Hinweise. Vergangene Monero-Upgrades haben gelegentlich verlangt, dass Nutzer Outputs vom alten ins neue Format „sweepen", bevor sie wieder ausgegeben werden können. Das Monero-Core-Team wird explizite Anweisungen veröffentlichen, falls das für Seraphis nötig ist; handle nicht aufgrund von Gerüchten aus Foren oder sozialen Medien.

Für Nutzer von No-KYC-Swap-Diensten ist der operative Effekt meist minimal. Ein gut entworfener Dienst abstrahiert den Protokollübergang: Du gibst ihm die Adresse, er gibt dir XMR, und er regelt die Seraphis-vs-Pre-Seraphis-Output-Formate im Backend. MoneroSwapper etwa behandelt die Protokollversion der Zieladresse als Routing-Entscheidung, nicht als kundenseitige Komplikation. Kunden können den gewohnten Ablauf einfach weiterverwenden.

Ein praktisches Beispiel: Empfang eines Swaps unter dem neuen Modell

Stell dir ein typisches Szenario aus Mitte 2026 vor, vorausgesetzt, Seraphis ist bis dahin aktiviert. Eine Nutzerin aus München möchte Bitcoin gegen Monero tauschen, ohne KYC. Sie geht zu einem Swap-Dienst wie MoneroSwapper, fügt ihre Jamtis-Empfangsadresse ein (erzeugt von einer aktualisierten Wallet wie Feather oder dem offiziellen Monero GUI) und sendet Bitcoin an die bereitgestellte Einzahlungsadresse.

Hinter den Kulissen routet der Swap-Dienst das Bitcoin durch seinen Liquiditätspool, beschafft Monero und konstruiert eine Seraphis-Transaktion, die den vereinbarten Betrag an die Jamtis-Adresse der Nutzerin sendet. Die Transaktion enthält einen Kompositionsbeweis, einen Mitgliedschaftsbeweis aus einem Anonymitätsset von 128 (oder mehr) Outputs und einen Carrot-kodierten Output, den die Wallet der Nutzerin in einem einzigen Scan-Durchgang erkennen kann. Die Nutzerin sieht die Gelder im üblichen Bestätigungsfenster von 10 bis 20 Minuten in ihrer Wallet.

Was hat sich aus Nutzersicht geändert? Nichts Sichtbares. Was hat sich unter der Haube geändert? Das Anonymitätsset ist um eine Größenordnung gewachsen, das Output-Encoding widersteht Janus-Angriffen auf Protokollebene, und der Swap-Dienst hat nie einen Schlüssel erhalten, mit dem er irgendetwas über die breitere Monero-Aktivität der Nutzerin lernen könnte. Das System hat mehr Privacy-Arbeit geleistet, transparent. Das ist das Ziel eines gut umgesetzten Protokoll-Upgrades: unsichtbar für den Nutzer, nachweislich stärker für den Auditor.

Für Nutzer, die von außerhalb des Monero-Ökosystems kommen — Bitcoiner, die neugierig auf Privatsphäre sind, oder neue Privacy-Coin-Anwender — wird die Seraphis-Ära wahrscheinlich der Erstkontakt sein. Sie werden nie wissen, wie das Leben mit Sechzehn-aus-vielen-Ring-Signaturen war, genauso wie heutige Nutzer sich kaum noch an die Pre-RingCT-Tage erinnern, als Transaktionsbeträge auf der Kette öffentlich waren. So sollten sich Protokoll-Upgrades anfühlen: eine stille Verbesserung, die zur neuen Baseline wird.

FAQ

Wann werden Seraphis und Jamtis im Monero-Mainnet aktiviert?

Es gibt noch kein festes Datum. Das Monero Research Lab und das Core-Team haben wiederholt betont, dass die Aktivierung vom Abschluss der kryptografischen Audits, dem Härten der Bibliotheken, der Wallet-Integration über die wichtigsten Implementierungen hinweg und mindestens einem vollständigen Testnet-Zyklus abhängt. Öffentliche Schätzungen von Mitwirkenden aus Ende 2025 reichten von Ende 2026 bis Mitte 2027, doch die Projektkultur lehnt kalendergetriebenes Ausliefern für sicherheitskritische Upgrades explizit ab. Für autoritative Zeitangaben beobachte die offiziellen Monero-Release-Notes und die Sitzungsprotokolle des Monero Research Lab.

Wird meine aktuelle Monero-Adresse nach dem Upgrade noch funktionieren?

Ja, für einen Übergangszeitraum. Hard Forks bei Monero haben historisch eine abwärtskompatible Adressbehandlung enthalten, sodass an Legacy-Adressen gesendete Gelder weiterhin ankommen. Längerfristig wird die Wallet-Software Nutzer ermutigen, auf Jamtis-Adressen zu migrieren, und schließlich werden neue Wallets möglicherweise gar keine Legacy-Adressen mehr erzeugen. Für Gelder auf aktuellen Adressen gibt es kein unmittelbares „Deadline"-Risiko, aber du wirst deine Wallet-Software um den Fork-Zeitpunkt aktualisieren wollen.

Ändert Seraphis Moneros Tail Emission oder Versorgungsplan?

Nein. Seraphis ist ein Upgrade der Transaktionsschicht. Es rührt nicht an die Geldpolitik. Die Tail Emission von 0,6 XMR pro Block läuft unverändert weiter. Die gesamte Emissionskurve, die Block-Reward-Dynamik und der RandomX-Proof-of-Work-Algorithmus sind alle von Seraphis getrennt und werden vom Upgrade nicht berührt.

Bricht Seraphis die Kompatibilität mit Hardware-Wallets wie Trezor und Ledger?

Hersteller von Hardware-Wallets müssen ihre Firmware aktualisieren, um die neuen Beweisformate und Schlüsselableitungspfade zu unterstützen. Historisch haben sowohl Trezor als auch Ledger Monero-Firmware-Updates passend zu Hard-Fork-Zeitplänen ausgeliefert, manchmal mit einer Verzögerung von Wochen oder Monaten. Wer auf Hardware-Wallets setzt, sollte die Geräte-Firmware zum Fork-Zeitpunkt nicht blind aktualisieren — warte stattdessen auf eine explizite Bestätigung des Herstellers, dass die neue Firmware die aktive Monero-Protokollversion unterstützt, und halte für das Übergangsfenster eine Software-Wallet-Backup-Option bereit.

Wie ist Seraphis im Vergleich zu den Ansätzen anderer Privacy-Projekte?

Zcash verwendet zk-SNARKs für vollständig abgeschirmte Transaktionen, was theoretisch stärkere Privatsphäre bietet, historisch aber eine Trusted-Setup-Zeremonie erforderte und eine deutlich geringere Adoption hat (der Großteil des Zcash-Volumens ist transparent). Mimblewimble-Ketten wie Grin verwenden ein grundlegend anderes Modell auf Basis von Output-Aggregation, das etwas Auditierbarkeit zugunsten von Kompaktheit opfert. Seraphis bleibt innerhalb von Moneros bestehendem Modell — Ring-Signaturen und Stealth-Adressen — und treibt das Design an sein praktisches Maximum. Der Tradeoff ist Engineering-Komplexität im Tausch gegen kein Trusted Setup und eine zur heutigen Monero-Erfahrung kontinuierliche Nutzererfahrung.

Kann ich auf MoneroSwapper schon vor der Aktivierung in Jamtis-Adressen swappen?

Nein, denn Jamtis-Adressen können von aktuellen Produktions-Wallets noch nicht erzeugt werden. Sobald das Protokoll aktiviert ist und größere Wallets wie Monero GUI, Feather und Cake Wallet die Jamtis-Unterstützung ausrollen, werden Swap-Dienste das neue Adressformat im Übergangsfenster neben Legacy-Adressen akzeptieren. Bis dahin funktioniert deine bestehende Monero-Adresse ganz normal für jede Swap-Aktivität.

Fazit

Seraphis und Jamtis stehen für Moneros Bekenntnis, der Analyse-Kurve voraus zu sein, statt auf sie zu reagieren. Das Upgrade ist nicht spektakulär, wird kein Preispump-Narrativ erzeugen und wird kaum verändern, was Nutzer im Alltag tun. Was es tun wird: den Privacy-Boden des Netzwerks deutlich anheben, Nutzern feinkörnigere Kontrolle darüber geben, was sie wem offenlegen, und das kryptografische Fundament für das nächste Jahrzehnt Monero-Entwicklung legen. Wenn du XMR hältst oder es für alltägliche datenschutzwahrende Zahlungen nutzt, nimm dir die nächsten sechs bis zwölf Monate, um dein Seed-Format zu aktualisieren, deine Wallet-Software-Gewohnheiten aufzufrischen und deinen Wiederherstellungsprozess zu verifizieren. Wenn der Fork dann kommt, soll er für dich ein Non-Event sein. Wenn du Monero schon heute mit einem No-KYC-, No-Account-Swap-Dienst nutzen willst, der den Seraphis-Übergang transparent abwickelt, schau bei MoneroSwapper vorbei und tausche dein bestehendes Krypto in Minuten in XMR.