View Key vs Spend Key do Monero: Entenda a Diferença

Em abril de 2026, uma contadora especializada em criptoativos de São Paulo fez algo que seria impensável no Bitcoin: auditou todo o histórico da carteira Monero de um cliente referente ao ano-calendário 2025 sem nunca ter o poder de movimentar um único XMR. O truque não foi uma intimação judicial nem um exploit forense — foi uma chave de visualização privada de treze linhas, compartilhada voluntariamente pelo próprio cliente para fins de declaração ao Fisco. Esse caso isolado captura por que a arquitetura de chaves do Monero é um dos desenhos mais incompreendidos, e ao mesmo tempo mais inteligentes, de toda a indústria cripto. Diferente do modelo "uma chave privada controla tudo" do Bitcoin, o Monero divide a autoridade em chaves separadas que permitem comprovar recebimentos sem entregar o controle, compartilhar históricos de transações de forma seletiva e auditar a própria carteira a partir de uma máquina sem conexão com a internet.

Este guia foi escrito para qualquer pessoa — entusiasta de privacidade, contribuinte preparando declaração à Receita Federal, compliance officer de exchange ou recém-chegado curioso — que já olhou para um comando da CLI do Monero como wallet --view-key e se perguntou o que exatamente estava prestes a copiar. Vamos desmontar a separação criptográfica entre a view key e a spend key, percorrer os cenários práticos em que cada uma importa e fechar com regras operacionais aprendidas no campo. Seja você um usuário que chegou ao Monero via MoneroSwapper, por meio de uma carteira desktop sem KYC ou por um dispositivo de hardware, entender essa dualidade é o alicerce de tudo o que você fará com XMR daqui em diante.

Por que o Monero usa quatro chaves em vez de uma

Para apreciar a distinção entre view key e spend key, você primeiro precisa entender que o Monero, na verdade, mantém quatro chaves por conta, e não duas. Elas são derivadas de forma determinística a partir de uma seed mnemônica de 25 palavras usando criptografia de curva elíptica sobre a curva Ed25519. As quatro chaves formam dois pares — um para visualização, outro para gasto — e cada par possui uma metade privada e uma metade pública.

• Spend key privada: a autoridade suprema. Permite assinar transações de saída. Quem possui essa chave pode movimentar todo o seu XMR.
• Spend key pública: derivada da spend key privada. Usada pelos remetentes para construir saídas com endereço stealth únicas para você.
• View key privada: a credencial somente leitura. Permite escanear a blockchain para identificar quais saídas pertencem a você, mas não consegue assinar nada.
• View key pública: derivada da view key privada. Combinada com a spend key pública, forma a base do seu endereço Monero principal.

Seu endereço Monero padrão de 95 caracteres é, essencialmente, uma codificação Base58 da spend key pública e da view key pública, mais um checksum e um prefixo de rede. Isso é fundamentalmente diferente de um endereço Bitcoin, que é um único hash de uma única chave pública. Essa separação permite ao Monero fazer algo que o Bitcoin não consegue: entregar metade da história criptográfica sem vazar a outra metade.

Sobre essas quatro chaves-base, existem ainda chaves derivadas para cada transação — chaves de saída descartáveis, key images que impedem o gasto duplo e chaves de assinatura para ring signatures. Essas são produzidas em tempo real usando os protocolos RingCT e CLSAG. Mas as quatro chaves de conta acima são o tronco da árvore. Tudo o mais cresce a partir delas.

A View Key: sua janela somente leitura para a blockchain

A view key privada tem cerca de 64 caracteres hexadecimais e é, na prática, o "segredo" mais compartilhado do ecossistema Monero. Compartilhá-la não dá ao destinatário qualquer poder de gasto. Só permite que ele faça uma coisa: escanear a blockchain pública e identificar quais saídas a carteira correspondente recebeu.

Isso funciona porque as transações do Monero usam stealth addresses (endereços furtivos). Quando alguém envia XMR para você, essa pessoa não escreve seu endereço público na blockchain. Em vez disso, ela gera uma chave pública descartável — o endereço stealth — usando sua view key pública e sua spend key pública combinadas com um escalar aleatório escolhido por ela. Para o mundo exterior, cada saída parece ir para um endereço novinho em folha que nunca foi visto antes. O titular da view key, no entanto, consegue rodar uma verificação matemática sobre cada saída de cada bloco para concluir: "sim, essa foi construída para a minha carteira".

O que a view key não consegue fazer

Uma view key não pode assinar transações, não pode movimentar fundos, não pode derivar a spend key e não consegue gerar key images por conta própria. Sem a spend key, mesmo possuindo uma visão completa e decifrada da sua carteira, um atacante ainda não consegue gastar nem um piconero. A view key está matematicamente isolada pelas propriedades assimétricas da criptografia de curva elíptica — conhecer a metade da view key não diz nada útil sobre a metade da spend key, ainda que ambas descendam da mesma seed.

O que a view key revela

Compartilhar sua view key privada não é um zero em termos de privacidade. Ela revela cada valor e timestamp de transação recebida, cada subendereço derivado da conta e — algo crucial desde que o upgrade Bulletproofs+ tornou os valores criptograficamente verificáveis — o valor preciso em XMR de cada recebimento. Com uma view key, um auditor consegue construir um livro-razão de entradas completo. Ele também consegue identificar muitas das suas transações de saída, porque a carteira Monero rastreia quais key images já produziu, mas não consegue decodificar o destino dessas transações de saída nem as saídas de troco sem informações adicionais. Valor e destino de saída permanecem opacos sem a spend key.

A Spend Key: onde mora a autoridade real

A spend key privada é o equivalente criptográfico ao dinheiro no bolso. Quem aprende essa chave pode transferir todo o seu saldo para um endereço de sua escolha, imediatamente, sem qualquer possibilidade de reversão. Não há mecanismos de recuperação no nível da blockchain, não há atendimento ao cliente e não existe botão de "desfazer" — o Monero é dinheiro ao portador, e a spend key é o instrumento que titulariza esse direito.

Do ponto de vista mecânico, a spend key assina ring signatures por meio do protocolo CLSAG. Quando você gasta uma saída, sua carteira seleciona dez outras saídas plausíveis da blockchain como iscas (decoys) e, em seguida, constrói uma assinatura CLSAG que prova que uma das onze entradas do ring pertence ao signatário — sem revelar qual delas. A spend key é o que produz essa assinatura e também gera a key image, um valor determinístico que impede que a mesma saída seja gasta duas vezes.

Como a spend key é tão sensível, o ecossistema Monero desenvolveu várias camadas de proteção em torno dela. Carteiras de hardware como Ledger e Trezor a armazenam em um elemento seguro e jamais a expõem ao computador host. Carteiras frias a mantêm em máquinas que nunca tocaram a internet. Configurações multiassinatura a dividem entre várias partes, de modo que nenhum titular sozinho consiga movimentar fundos. E o padrão mais recente Polyseed codifica a seed (da qual a spend key é derivada) em apenas 16 palavras, com metadados embutidos de data de nascimento e features, tornando os backups mais resistentes a erros de transcrição manual.

View key vs Spend key em um olhar

A tabela abaixo resume as diferenças práticas quando você está decidindo qual chave usar ou compartilhar para uma determinada tarefa. Memorize essa distinção — confundir as duas já custou milhões de XMR a usuários ao longo dos anos.

Como extrair e usar suas chaves Monero

Os passos exatos variam por carteira — Feather, Cake Wallet, Monero GUI e a CLI oficial apresentam as chaves por menus levemente diferentes. O princípio, no entanto, é idêntico. Eis um procedimento generalizado que se adapta a todos os clientes.

1. Verifique a integridade da carteira primeiro. Antes de expor qualquer chave, confirme a assinatura do binário da carteira. A página oficial de releases do Monero publica um arquivo de hashes assinado com GPG em getmonero.org; cheque-o contra o binário que você está rodando. Software de carteira comprometido é, de longe, a causa isolada mais comum de spend keys roubadas no Brasil e no mundo.
2. Localize o menu "Seed e Chaves". No Monero GUI, fica em Configurações → Carteira → Mostrar seed e chaves. No Feather, é Carteira → Mostrar seed. No Cake Wallet, é Conta → Mostrar chaves. Sempre execute esse passo em uma tela que não esteja sendo gravada ou compartilhada — desligue Discord, OBS e qualquer ferramenta de screen-share antes.
3. Copie a view key privada para uma carteira watch-only. Combinada com seu endereço principal e a altura de criação da carteira, isso é suficiente para construir uma carteira somente leitura totalmente funcional em outro dispositivo — perfeita para monitorar recebimentos sem expor a spend key.
4. Armazene a spend key privada apenas offline. Escreva-a em papel de qualidade arquivística, gravelhe-a em uma placa de aço inoxidável ou divida-a em shares Shamir distribuídos em locais geograficamente separados. Nunca cole-a em um app de notas na nuvem, e-mail, favorito de navegador ou arquivo de texto não criptografado — esses são alvos rotineiros de malware brasileiros como variantes do Mekotio e do Casbaneiro.
5. Teste a recuperação em uma máquina limpa. Antes de confiar no backup, restaure a carteira a partir da seed em um notebook air-gapped. Confirme se a view key, a spend key e o endereço principal resultantes batem exatamente com os originais. Um backup que você não testou não é um backup.
6. Documente a altura de criação da carteira. Sem ela, restaurar uma carteira significa escanear todo bloco desde o gênese (mais de 3,4 milhões de blocos em meados de 2026), o que leva horas. A altura de criação reduz isso a minutos.

Se você não escreveria a chave da sua casa em um cartão-postal, não cole sua spend key privada em uma captura de tela, em uma janela de ticket de suporte ou em uma sessão de acesso remoto — nem mesmo com alguém que pareça confiável. A view key, em contraste, pode trafegar por canais comuns com cautela proporcional.

Cenários do mundo real onde a separação importa

Criptografia abstrata é uma coisa; uso prático é outra. Aqui estão os cenários em que a separação view-spend do Monero deixa de ser uma escolha de design interessante e vira ferramenta genuinamente útil.

Autocustódia em conformidade fiscal. Em jurisdições com regras rígidas de reporte de criptoativos — Brasil, Alemanha, Japão, Estados Unidos, Austrália — os usuários de Monero historicamente enfrentaram um dilema: como provar seu histórico de transações para a autoridade fiscal sem dar a ela o poder de movimentar suas moedas? A view key resolve isso. No caso brasileiro, você pode entregar uma cópia para seu contador, que a importa numa carteira watch-only e exporta um CSV limpo de transações recebidas para alimentar a declaração de Bens e Direitos e o Ganho de Capital na DIRPF. Lembre que a Receita Federal, por meio da Instrução Normativa 1.888 e suas atualizações, exige reporte mensal de operações acima de R$ 30.000 quando não realizadas via exchange domiciliada no país. O contador nunca vê sua spend key, nunca segura seu XMR, e ainda assim consegue produzir uma declaração compliant. Várias plataformas de software fiscal cripto adicionaram importação nativa de view key Monero ao longo de 2025 justamente para esse fluxo.

Transparência de doações para ONGs. Uma ONG voltada para privacidade que aceita Monero enfrenta um paradoxo: ela quer anonimato para doadores mas também quer demonstrar publicamente que os fundos foram usados conforme prometido. A solução é publicar o endereço de doação junto com a view key privada. Qualquer pessoa no mundo pode então auditar as doações em tempo real, enquanto a ONG mantém controle exclusivo da spend key. A carteira da comunidade Monero usa esse modelo de transparência desde 2017, e várias organizações humanitárias replicaram a prática durante a onda de sanções de 2025 que empurrou as doações para trilhos de pagamento que preservam a privacidade.

Prova de reservas de exchanges. Quando você troca Bitcoin ou Ethereum por XMR via MoneroSwapper, a plataforma cuida da criptografia para você e entrega XMR no endereço Monero que você especificou. Se você opera um serviço que custodia Monero em nome de clientes, pode provar solvência publicando as view keys das suas cold wallets. Os clientes conseguem verificar o saldo on-chain por conta própria sem que a exchange jamais exponha as spend keys. Depois dos colapsos de exchanges centralizadas em 2022 e 2023, e do caso brasileiro da Polaris Digital Assets ainda fresco na memória dos investidores locais, essa técnica ganhou tração como forma de combinar modelos de negócio custodiados com responsabilização criptográfica.

Fluxos com carteira de hardware. Quando você emparelha uma Ledger ou uma Trezor com o Monero GUI, o cliente desktop só enxerga a view key. A spend key permanece dentro do elemento seguro do hardware e nunca cruza a barreira USB. O desktop monta a transação não assinada, o dispositivo de hardware assina após confirmação na tela física e a transação assinada volta para o desktop para ser transmitida. A separação view-spend é o que torna essa arquitetura limpa — o computador host pode ser plenamente funcional sem nunca precisar receber autoridade de gasto.

Perguntas Frequentes

Alguém consegue roubar meu Monero se tiver apenas minha view key?

Não. A view key sozinha confere zero autoridade de gasto. A separação criptográfica entre view e spend keys é imposta pela matemática de curva elíptica na curva Ed25519 — conhecer a metade da view key não diz nada útil ao atacante sobre a metade da spend key. No entanto, a exposição da view key compromete sim a privacidade: o destinatário pode ver todas as transações que sua carteira recebeu, incluindo valores depois do upgrade Bulletproofs+. Trate-a como você trataria um extrato bancário, não como um cartão de débito.

A view key é a mesma coisa que a senha da carteira?

Não. A senha da carteira criptografa o arquivo local da carteira no seu disco; ela não tem qualquer relação criptográfica com a view key ou com a spend key. Se você esquecer a senha da carteira, precisa restaurar a carteira a partir da seed mnemônica, o que regenera as duas chaves de forma determinística. Se você esquecer a seed, nenhuma recuperação de senha é possível — os fundos são irrecuperáveis. Por isso o passo de testar o backup em uma máquina limpa, citado acima, é tão crítico.

Por que uma view key consegue ver valores recebidos mas não valores enviados?

As range proofs do Bulletproofs+ permitem que o titular da view key recompute o blinding factor usado para ocultar valores recebidos, o que os expõe. As transações de saída, no entanto, exigem a spend key para derivar a key image, e sem essa key image você não consegue determinar qual decoy de uma ring signature foi o gastador real. A assimetria é intencional: ela permite auditar recebimentos sem vazar o grafo completo de transações.

Posso criar um endereço Monero a partir apenas de uma view key?

Não. Um endereço Monero primário codifica tanto a view key pública quanto a spend key pública. Sem a spend key pública — que é derivada da spend key privada — você não consegue construir um endereço completo e gastável. Você pode, no entanto, criar subendereços para uma carteira existente usando apenas a view key em alguns fluxos avançados, embora isso raramente seja feito na prática.

Qual a diferença entre uma carteira watch-only e uma carteira view-only?

Os termos são usados de forma intercambiável no Monero. Ambos se referem a uma carteira importada com a view key privada e o endereço principal (mais opcionalmente a altura de criação da carteira), permitindo escaneamento somente leitura. Não existe uma terceira variante "view-only" — o Monero ou tem chaves completas ou tem apenas a view key.

Devo rotacionar minha view key periodicamente?

Você não consegue rotacionar uma view key sem rotacionar a carteira inteira. As duas chaves derivam da mesma seed, e a seed é o que define a identidade da carteira. Se você suspeitar de exposição da view key e quiser resetar a privacidade, o único caminho é gerar uma nova carteira, transferir os fundos para ela (um processo que quebra a ligação on-chain graças às ring signatures e aos stealth addresses) e abandonar a carteira antiga. Isso é incomum, mas eventualmente feito por endereços públicos de alto perfil que sofreram doxxing.

O Bacen ou a Receita Federal podem exigir que eu entregue minha spend key?

Até a presente data, nenhuma normativa brasileira exige expressamente a entrega da spend key — o que a Receita exige é a comprovação patrimonial e o reporte de transações. Para fins de declaração, a view key é suficiente. Se você for alvo de procedimento fiscal ou criminal, consulte um advogado tributarista antes de entregar qualquer credencial: na maioria dos casos, uma carteira watch-only montada com a view key resolve a demanda de prova sem comprometer o controle sobre os ativos.

Conclusão

A distinção entre view key e spend key não é uma esquisitice do Monero — é a escolha arquitetônica que torna a transparência seletiva possível em uma blockchain de privacidade por padrão. Ao separar a capacidade criptográfica de ler da capacidade criptográfica de escrever, o Monero entrega aos usuários uma ferramenta que o modelo monolítico de chave do Bitcoin simplesmente não consegue replicar: a habilidade de compartilhar recebimentos sem compartilhar controle. Quer você esteja declarando à Receita Federal, comprovando solvência, mantendo uma ONG transparente ou emparelhando uma carteira de hardware, saber qual chave expor e qual guardar é a diferença entre um fluxo limpo e uma perda catastrófica.

Quando você estiver pronto para adquirir Monero a partir de outra criptomoeda, o MoneroSwapper oferece swaps sem KYC e sem criação de conta — o XMR resultante cai diretamente numa carteira cujas chaves só você controla. A partir desse ponto, a arquitetura de quatro chaves descrita acima é responsabilidade sua. Trate a spend key como o segredo de cofre que ela é, e use a view key como a janela de auditoria que ela foi desenhada para ser.