Seraphis и Jamtis в Monero: следующий скачок протокола

Когда в конце 2025 года Monero Research Lab без особого шума влил первую прошедшую аудит ветку библиотеки Seraphis в тестовый форк, наблюдатели за развитием протокола получили подтверждение тому, о чём говорили почти четыре года: Monero готовится к самой масштабной перестройке транзакционного уровня со времён внедрения RingCT в 2017 году. Seraphis — это не точечное улучшение. Он заменяет весь протокол транзакций, криптографические доказательства, охраняющие анонимность отправителя, и схему адресации, которую пользователи видят в кошельке. Jamtis — это адресный слой, спроектированный поверх Seraphis, и он отправляет в отставку формат субадресов, на котором стоял каждый Monero-кошелёк последние пять лет.

В этом руководстве разбираем оба компонента: что они собой представляют, почему ведущие исследователи (koe, jberman, UkoeHB) потратили на них тысячи часов, что изменится для рядового пользователя и как сервис обмена без KYC вроде MoneroSwapper переживёт миграцию, не заставляя клиентов заново учиться приватным переводам. Если вы хоть раз отправляли или получали XMR, тот адрес, которым вы пользовались, рано или поздно станет устаревшим. Разобраться в обновлении сейчас обойдётся дешевле, чем суетиться в день активации хардфорка.

Зачем Monero вообще понадобился Seraphis

Нынешний транзакционный протокол Monero — это слоёный пирог из заплаток. Базовое доказательство CLSAG пришло на смену MLSAG в хардфорке октября 2020 года и сократило размер кольцевой подписи примерно на 25%, но оно по-прежнему работает с фиксированным кольцом из шестнадцати приманок, отобранных из недавних выходов. «Шестнадцать из многих» звучит надёжно, однако статистические эвристики, анализ временных меток и так называемая «EAE-атака» (eve-alice-eve) постепенно подтачивают анонимность отправителя в неблагоприятных моделях. С 2019 года вышло несколько рецензируемых работ, показывающих, как аналитик с широким обзором mempool и достаточным бюджетом способен с заметной вероятностью деанонимизировать часть выходов.

Проблема фунгибельности усугубляет картину. В каждом кольце CLSAG есть один настоящий расход и пятнадцать приманок, но сами приманки — это выходы более ранних транзакций. Если две транзакции ссылаются друг на друга как на приманки, и блокчейн-анализ может исключить один из вариантов, вероятность по второму становится острее. В среднем система устойчива, но по краям подтекает. Seraphis закрывает эту течь, резко расширяя анонимный набор и одновременно перестраивая доказательство так, что владение и принадлежность к множеству разводятся в разные стороны.

• Расширенный анонимный набор: Seraphis рассчитан на доказательства принадлежности по 128 или 256 выходам (или больше — в зависимости от кривой и выбранной при активации системы доказательств) вместо нынешних шестнадцати. Размер доказательства растёт логарифмически, поэтому «128 из многих» обходится по байтам ненамного дороже, чем «16 из многих» в CLSAG.
• Разделение ответственности: Сегодня одно доказательство CLSAG одновременно говорит «я владею одним из этих выходов» и «я ещё не тратил его». В Seraphis это разнесено на membership proof (доказательство принадлежности) и composition proof (доказательство владения). Каждое можно оптимизировать, аудировать и обновлять независимо.
• Хирургия ключей просмотра: Нынешний view key выдаёт получателю абсолютно все входящие выходы. Аудиторы, биржи и налоговые консультанты получают одну и ту же пожарную струю. Seraphis вводит ярусные ключи просмотра, и пользователь может предоставить доступ только к поступлениям, не раскрывая выходы со сдачей или внутренние переводы.
• Сменные доказательства: Архитектура Seraphis рассматривает membership proofs как заменяемый модуль. Текущая цель — FCMP++ (Full-Chain Membership Proofs Plus Plus), которая позволит любому выходу в блокчейне служить потенциальной приманкой. По сравнению с шестнадцатью это ступенчатый скачок.

Из всего этого не следует, что CLSAG сломан. Это значит, что пространство решений сдвинулось, академическая криптография созрела, а исследовательская культура Monero не готова мириться с «и так сойдёт», когда на столе лежит «доказуемо лучше». Цена — инженерная сложность и многолетний переход; выгода — приватность, которая переживёт следующее десятилетие развития инструментов анализа.

Как Seraphis перестраивает транзакции

Seraphis — это транзакционный протокол, а не отдельный примитив. Чтобы понять, что меняется, удобно пройти по шагам отправки XMR сегодня и сопоставить каждый шаг с тем, что будет в Seraphis. Различия незаметны на уровне пользовательского опыта, но фундаментальны под капотом.

От CLSAG к composition + membership proofs

В CLSAG кошелёк выбирает пятнадцать приманок из цепочки, собирает кольцо из шестнадцати и подписывает доказательство: «один из этих шестнадцати — мой, и я не потратил его дважды». В Seraphis кошелёк строит два разных доказательства. Composition proof говорит: «я законно владею вот этим конкретным выходом, и вот совпадающий key image, который подтверждает, что я ещё его не тратил». Membership proof говорит: «выход, на который я ссылаюсь, действительно лежит в этом большом анонимном наборе на цепочке». Доказательства связаны криптографически, но генерируются независимо — именно поэтому анонимный набор можно расширять позже, не переделывая весь формат транзакции.

Сами key images тоже переосмыслены. Сегодняшний key image детерминированно выводится из одноразового выходного ключа и spend key — конструкция элегантная, но многие годы её мусолят на предмет краевых случаев. Seraphis вводит новый формат key image, совместимый с FCMP++ — системой доказательств принадлежности, которая, по замыслу исследователей, в будущем позволит анонимному набору охватывать весь UTXO-набор блокчейна.

Carrot: слой кодирования выходов

Carrot — это схема кодирования выходов, спроектированная вместе с Seraphis. Если сегодня выход использует стелс-адрес, выведенный из публичного view key получателя и одноразового общего секрета транзакции, то выход Carrot добавляет новые поля: view-balance keys, маркеры «внутренний/внешний» и подсказки прямой секретности. На практике это даёт две вещи: сканирование кошелька становится быстрее (внутренние выходы — ваша собственная сдача — опознаются без полной расшифровки), а аудит по view key — безопаснее (аудитор видит ровно то, что вы ему разрешили).

Carrot также по умолчанию защищает от атак Janus. Атака Janus — это когда злонамеренный отправитель формирует выход, позволяющий ему позже доказать, какой из двух адресов получателя стал владельцем средств. Нынешний протокол Monero парирует это проверкой субадреса, но Carrot встраивает защиту прямо в формат выхода, убирая целый класс ошибок на уровне криптографии, а не на уровне политики кошелька.

Размер транзакций и комиссии

Критики часто спрашивают, не означает ли Seraphis более тяжёлые транзакции и более высокие комиссии. Честный ответ: вероятно, да — умеренно, на коротком горизонте, и, скорее всего, нет — в перспективе. Первые доказательства Seraphis крупнее CLSAG примерно в 1,5–2 раза в зависимости от конфигурации, выбранной при активации. Но динамический размер блока в Monero привязывает комиссию к загруженности, а не к сырому количеству байт, а Bulletproofs+ уже агрессивно ужал range proofs в 2022 году. Как только подключится FCMP++ и анонимный набор расширится до масштабов цепи, удельная стоимость байта на единицу приватности сильно упадёт по сравнению с сегодняшней.

Jamtis: слой адресации, который вы реально увидите

Seraphis — это двигатель. Jamtis — это приборная панель. Большинство пользователей никогда не прочитают composition proof, но каждый из них хоть раз скопирует и вставит Monero-адрес. Jamtis перестраивает этот адрес и стоящие за ним ключи так, чтобы выигрыш Seraphis в приватности отражался в том, как кошельки, биржи и продавцы взаимодействуют с сетью.

Сегодняшние Monero-адреса — это 95 символов base58, начинающиеся с «4» для основных адресов mainnet или с «8» для субадресов. В них зашиты публичный spend key и публичный view key — по сути всё. Адреса Jamtis сравнимы по длине или чуть короче (финальный формат всё ещё дорабатывается на уровне протокола), но кодируют значительно больше структуры: индекс адреса, флаг типа адреса (основной, биржевой, интегрированный или «вспомогательный») и тэги аутентификации, которые перекрывают определённые фишинговые и подменные атаки.

Ярусность view key заслуживает отдельного внимания, потому что решает реальную боль. Сегодня, если вы отдадите view key бухгалтеру, он увидит абсолютно все входящие выходы — включая сдачу с ваших же расходов, переводы между вашими субадресами и любые сторонние поступления. Jamtis позволяет выдать только тот ярус, который нужен аудитору. Ключ find-received показывает входящие платежи без сумм. Ключ view-incoming — входящие платежи с суммами, но без сдачи. Ключ view-balance — расходуемый баланс для отчётности, не вскрывая отдельные транзакции. И только view-all, который пользователь хранит при себе, видит всё.

Для сервисов вроде MoneroSwapper, которым нужно подтвердить депозит клиента, не залезая в его кошельковую историю, новая ярусная структура означает более чистые интеграции и более сильную приватность по умолчанию. Сервис обмена может убедиться, что «вы отправили согласованную сумму на согласованный адрес», ни разу не получив ключа, который бы открыл ему общий баланс клиента, его паттерн сдачи или другие поступления. Это важно, потому что каждый байт метаданных, который сервис приватности не собирает, — это байт, который у него нельзя истребовать по повестке, выудить через утечку или вытянуть социальной инженерией.

Если приватностное обновление умещается в одно предложение, оно почти наверняка слишком простое. Seraphis и Jamtis вместе — это система: доказательства, кодирование, адреса, иерархия ключей и UX кошелька движутся синхронно. Воспринимайте их как пакет, а не как список фич.

Маршрут миграции: как подготовить кошелёк

Хардфорк Seraphis на момент написания этого текста не назначен; Monero Research Lab и команда ядра принципиально консервативны в датах активации и предпочитают «готово, когда готово» календарным дедлайнам. Прежние хардфорки Monero давали пользователям от двух до шести месяцев на подготовку, и Seraphis почти наверняка будет ближе к верхней границе — слишком велик объём изменений. Ниже — практический чек-лист, который работает независимо от точной недели активации.

1. Проверьте формат сид-фразы. Если ваш кошелёк всё ещё использует legacy-сид из 25 слов, имеет смысл заранее перейти на кошелёк с 16-словным Polyseed. Polyseed совместим с путями деривации Jamtis; legacy-сид при форке потребует промежуточного шага конвертации в кошельке.
2. Обновите кошельковый софт минимум дважды до форка. Команды Monero GUI, CLI, Feather Wallet и Cake Wallet обычно выпускают несколько предфорковых релизов. Следите за официальными release notes Monero и за changelog вашего кошелька начиная за месяц до активации — не полагайтесь только на автообновление, потому что некоторые кошельки требуют ручного подтверждения мажорных апдейтов.
3. Отрепетируйте полное восстановление из сида на запасном устройстве. Перед любым крупным апгрейдом протокола самая полезная мера безопасности — убедиться, что записанный сид реально восстанавливает средства. Поднимите чистый Monero CLI или Feather Wallet на отдельной машине, восстановитесь из сида и сверьте баланс. Сделайте это дважды. Делайте это раз в полгода и без всяких форков.
4. Сократите разрастание субадресов. Если вы заводили десятки субадресов «по одному на контрагента» или «по одному на продавца», миграция будет слегка сложнее. Сведение средств к меньшему набору субадресов до форка — с понятными подписями для каждого — сильно упрощает ментальную модель после форка.
5. Опишите, кому вы давали view key. Если вы делились view key с бухгалтером, биржей или аудиторским инструментом, запишите, у кого он и зачем. После активации Jamtis эти отношения, скорее всего, захочется переоформить уже на новые ярусные ключи вместо старого полного view key.
6. Ждите инструкций по «post-fork sweep». Некоторые прошлые апгрейды Monero требовали «перевода» выходов из старого формата в новый, прежде чем они становились пригодны к трате. Если такое потребуется для Seraphis, ядро Monero опубликует явные инструкции; не действуйте по слухам с форумов или из соцсетей.

Для пользователей сервисов обмена без KYC операционный эффект обычно минимален. Хорошо устроенный сервис абстрагирует переход на новый протокол: вы даёте адрес, сервис отдаёт XMR и сам разбирается с форматами выходов «до и после Seraphis» на бэкенде. MoneroSwapper, например, воспринимает версию протокола адреса назначения как маршрутизационное решение, а не как пользовательскую сложность. Клиент продолжает работать ровно тем же сценарием, что и раньше.

Практический пример: получение обмена в новой модели

Представим типичный сценарий из середины 2026 года, исходя из того, что Seraphis к этому моменту уже активирован. Пользователь из Москвы хочет обменять Bitcoin на Monero без KYC. Он заходит на сервис обмена, скажем MoneroSwapper, вставляет свой Jamtis-адрес (сгенерированный обновлённым кошельком Feather или официальным Monero GUI) и отправляет Bitcoin на депозитный адрес.

За кадром сервис прогоняет Bitcoin через свой пул ликвидности, получает Monero и собирает Seraphis-транзакцию, отправляющую согласованную сумму на Jamtis-адрес пользователя. Транзакция включает composition proof, membership proof по анонимному набору из 128 выходов (или больше) и Carrot-кодированный выход, который кошелёк пользователя распознаёт за один проход сканирования. Средства появляются в кошельке в привычное окно подтверждения — 10–20 минут.

Что изменилось для пользователя? Ничего видимого. Что изменилось под капотом? Анонимный набор вырос на порядок, кодирование выходов теперь сопротивляется атакам Janus на уровне протокола, а сервис обмена не получил ни одного ключа, который позволил бы ему узнать что-либо о более широкой активности пользователя в Monero. Система выполнила больше приватностной работы, и сделала это незаметно. В этом и состоит цель удачного апгрейда протокола: незримый для пользователя, доказуемо более сильный для аудитора.

Для тех, кто приходит в Monero извне — биткойнеры, любопытствующие к приватности, или новички в приватных монетах в принципе, — эпоха Seraphis, скорее всего, окажется их первым опытом. Они никогда не узнают, каково это — жить с кольцами «шестнадцать из многих», ровно так же, как сегодняшние пользователи редко вспоминают доRingCT-эпоху, когда суммы транзакций были видны на цепи в открытом виде. Так и должны проходить апгрейды протокола: тихое улучшение становится новой нормой.

Часто задаваемые вопросы

Когда Seraphis и Jamtis активируются в основной сети Monero?

Точной даты не объявлено. Monero Research Lab и команда ядра многократно повторяли, что активация зависит от завершения криптографических аудитов, отвердевания библиотек, интеграции в основные кошельки и хотя бы одного полного цикла на testnet. Публичные оценки контрибьюторов в конце 2025 года колебались между поздним 2026 и серединой 2027, но культура проекта явно отвергает шипинг по календарю там, где речь идёт о безопасности. Следите за официальными release notes Monero и за логами встреч Monero Research Lab — это авторитетные источники по таймингу.

Будет ли работать мой текущий Monero-адрес после апгрейда?

Да, в переходный период. Хардфорки Monero исторически включали обратную совместимость в обработке адресов, и средства, отправленные на legacy-адрес, продолжают доходить. На длинной дистанции кошельковый софт будет подталкивать пользователей к Jamtis-адресам, и в какой-то момент новые кошельки могут вовсе перестать генерировать старые. Никакого «дедлайна» по средствам на текущих адресах нет, но кошелёк обновить вблизи форка точно стоит.

Влияет ли Seraphis на хвостовую эмиссию или график предложения?

Нет. Seraphis — это апгрейд транзакционного уровня. Монетарную политику он не трогает. Хвостовая эмиссия 0,6 XMR за блок продолжает работать без изменений. Общая кривая эмиссии, динамика награды за блок и алгоритм proof-of-work RandomX лежат отдельно от Seraphis и от этого апгрейда никак не зависят.

Сломает ли Seraphis совместимость с аппаратными кошельками Trezor и Ledger?

Производителям аппаратных кошельков придётся обновить прошивку под новые форматы доказательств и пути деривации ключей. Исторически и Trezor, и Ledger выпускали Monero-обновления прошивок к хардфоркам, хотя порой с задержкой в недели или месяцы. Пользователям, опирающимся на аппаратные кошельки, не стоит вслепую обновлять прошивку в день форка — дождитесь явного подтверждения от вендора, что новая прошивка поддерживает актуальную версию протокола Monero, и держите наготове программный кошелёк как страховку на переходный период.

Как Seraphis смотрится на фоне других приватностных проектов?

Zcash использует zk-SNARK для полностью экранированных транзакций — теоретически это даёт сильнейшую приватность, но исторически потребовало церемонии доверенной настройки, а в реальности объёмы в экранированном виде у Zcash минимальны (большинство объёма прозрачно). Mimblewimble-цепочки вроде Grin строятся на принципиально иной модели с агрегацией выходов, жертвующей частью аудируемости ради компактности. Seraphis остаётся внутри существующей модели Monero — кольцевые подписи и стелс-адреса, — но доводит её до практического максимума. Цена — инженерная сложность; выгода — отсутствие доверенной настройки и пользовательский опыт, плавно вытекающий из сегодняшнего Monero.

Можно ли уже сейчас обмениваться в Jamtis-адреса на MoneroSwapper?

Нет, потому что Jamtis-адреса пока не генерируются ни одним продакшен-кошельком. Как только протокол активируется и крупные кошельки — Monero GUI, Feather, Cake Wallet — выкатят поддержку Jamtis, сервисы обмена будут принимать новый формат адреса параллельно с legacy в течение переходного окна. До этого момента ваш существующий Monero-адрес продолжает нормально работать во всех обменных операциях.

Заключение

Seraphis и Jamtis — это обязательство Monero держаться впереди кривой анализа, а не догонять её. Апгрейд не громкий, не родит нарратива «памп по новости» и не перевернёт повседневного использования. Зато он поднимет нижнюю планку приватности сети, даст пользователям более тонкий контроль над тем, что и кому они раскрывают, и подготовит криптографический фундамент следующего десятилетия Monero. Если вы держите XMR или платите им за повседневную приватность, отведите ближайшие шесть–двенадцать месяцев на обновление формата сида, освежение привычек по обновлению софта и репетицию восстановления. Когда форк случится, пусть он станет небытием. Чтобы уже сегодня пользоваться Monero через сервис обмена без KYC и без аккаунтов, который прозрачно переживёт переход на Seraphis, загляните на MoneroSwapper и обменяйте имеющуюся криптовалюту на XMR за считаные минуты.