Key Images en Monero: El Mecanismo que Previene el Doble Gasto

El problema del doble gasto en las monedas de privacidad

Cada criptomoneda debe resolver el problema del doble gasto: garantizar que la misma moneda no se pueda gastar dos veces. En cadenas de bloques transparentes como Bitcoin, esto es sencillo. Cada entrada de transacción hace referencia a una salida de transacción específica no gastada, y toda la red puede verificar que esta salida no se haya consumido antes. El libro mayor es un libro abierto. Cualquiera puede rastrear la cadena de propiedad de una transacción a otra y confirmar que los saldos son legítimos.

Monero enfrenta una versión fundamentalmente más difícil de este problema. Debido a que Monero oculta el remitente, el destinatario y el monto de cada transacción, la red no puede simplemente buscar si se ha gastado un resultado en particular. Las firmas de anillo ocultan qué salida se está consumiendo realmente al mezclarla con señuelos, y las direcciones ocultas garantizan que las salidas no puedan vincularse a sus destinatarios. Si la cadena de bloques no puede identificar qué producción específica se está gastando, ¿cómo puede evitar que alguien gaste la misma producción dos veces?

La respuesta está en uno de los mecanismos criptográficos más elegantes de Monero: las imágenes clave. Las imágenes clave proporcionan una garantía matemática de que cada producto solo se puede gastar una vez, sin revelar qué producto se está gastando. Son el puente entre la privacidad absoluta de Monero y la integridad requerida para un sistema monetario que funcione.

¿Qué es una imagen clave?

Una imagen clave es un marcador criptográfico único que se genera y publica cada vez que se gasta una salida de Monero en una transacción. Técnicamente, una imagen clave es un punto en una curva elíptica derivada de manera determinista de la clave privada única asociada con una salida específica. Las propiedades críticas de una imagen clave son las siguientes:

• Unicidad - Cada salida produce exactamente una imagen clave. Dos salidas diferentes siempre producirán imágenes clave diferentes, y la misma salida siempre producirá la misma imagen clave independientemente de cuándo o cuántas veces se realice el cálculo.
• Derivación unidireccional - La imagen de clave se calcula a partir de la clave privada, pero la clave privada no se puede recuperar a partir de la imagen de clave. Esto es similar a cómo funciona una función hash: fácil de calcular en una dirección, computacionalmente inviable de revertir.
• Desvinculabilidad - La imagen clave no revela a qué salida de la firma del anillo corresponde. Un observador que ve una imagen clave publicada en la cadena de bloques no puede determinar cuál de los miembros del anillo es la salida real gastada.

Cómo se generan las imágenes clave

Para comprender la generación de imágenes clave, es útil revisar brevemente cómo funcionan las salidas de Monero. Cuando alguien le envía Monero, la transacción crea una dirección oculta única específicamente para ese pago. Esta dirección oculta se deriva de sus claves públicas y un valor aleatorio elegido por el remitente. Solo usted, como destinatario, puede calcular la clave privada única correspondiente para esta dirección oculta utilizando su clave de gasto privada.

Cuando luego decide gastar este resultado, su billetera calcula la imagen clave usando la fórmula: KI = x * Hp(P), donde x es su clave privada única para la salida, Hp es una función hash a punto que asigna la clave pública P a un punto en la curva elíptica y P es la clave pública única de la salida. El resultado es un punto de curva que es exclusivo de esta salida específica y de esta clave privada específica.

Este cálculo es determinista. No importa cuántas veces calcules la imagen clave para un resultado determinado, siempre obtendrás el mismo resultado. Y ninguna otra salida existente producirá la misma imagen clave, porque cada salida tiene un par de claves único y único. Este determinismo es lo que hace posible la detección del doble gasto.

Cómo las imágenes clave evitan el doble gasto

Cada transacción de Monero que gasta una salida debe incluir la imagen clave correspondiente. Cuando los mineros reciben una nueva transacción, comparan la imagen clave con una base de datos de todas las imágenes clave que han aparecido en transacciones anteriores. Si la imagen clave nunca se ha visto antes, la transacción es potencialmente válida y puede incluirse en un bloque. Si la imagen clave ya existe en la base de datos, la transacción intenta gastar un resultado que ya se ha consumido y se rechaza como un intento de doble gasto.

Este mecanismo es maravillosamente simple en su lógica. La red no necesita saber qué producción se gastó. No es necesario rastrear la cadena de propiedad. No es necesario descifrar ninguna cantidad ni identificar a ningún participante. Todo lo que necesita hacer es mantener un conjunto de imágenes clave observadas y rechazar cualquier transacción que intente agregar un duplicado. La base de datos de imágenes clave crece monótonamente a medida que se extiende la cadena de bloques, y cada gasto válido agrega exactamente una nueva entrada.

Por qué las imágenes clave no comprometen la privacidad

Una preocupación natural es si la publicación de imágenes clave crea una fuga de privacidad. Si cada producto gastado tiene una imagen clave única, ¿podría un atacante usar imágenes clave para vincular los productos con sus propietarios o rastrear patrones de gasto? La respuesta es no, debido a las propiedades matemáticas de la construcción de la imagen clave.

La imagen de la clave se deriva de la clave privada de un solo uso, que a su vez se deriva de una combinación del valor aleatorio del remitente y las claves privadas del destinatario. Sin conocer la clave de gasto privada del destinatario, es computacionalmente inviable determinar a qué salida corresponde una imagen de clave determinada. La firma del anillo demuestra que quien gasta conoce la clave privada de uno de los miembros del anillo, y la imagen de la clave demuestra que esta salida en particular no se ha gastado antes, pero ninguna información revela qué miembro del anillo es el real.

Además, las imágenes clave de diferentes transacciones no se pueden correlacionar para determinar si pertenecen a la misma billetera. Cada salida tiene un par de claves únicas y únicas, por lo que las imágenes de claves producidas por las distintas salidas de una sola billetera parecen no tener ninguna relación entre sí.

La base de datos de imágenes clave

Los mineros de Monero y los nodos completos mantienen una base de datos completa de cada imagen clave que ha aparecido en una transacción válida en la cadena de bloques. Esta base de datos es un componente crítico del consenso. Al validar un nuevo bloque, los nodos verifican las imágenes clave de cada transacción con esta base de datos para garantizar que no existan duplicados.

La base de datos de imágenes clave crece con cada transacción y nunca disminuye. A diferencia del conjunto UTXO de Bitcoin, que puede crecer y reducirse a medida que se crean y consumen los resultados, el conjunto de imágenes clave de Monero solo se puede agregar. Esta es una compensación necesaria para la privacidad: dado que los resultados gastados no pueden identificarse públicamente ni eliminarse del conjunto de miembros potenciales del anillo, la base de datos de imágenes clave debe persistir indefinidamente para evitar intentos históricos de doble gasto.

A partir de 2026, la base de datos de imágenes clave contiene millones de entradas, pero cada entrada tiene solo 32 bytes, lo que hace que el requisito de almacenamiento total sea manejable incluso en hardware modesto. Las búsquedas se realizan utilizando estructuras de datos eficientes que permiten la detección de duplicados en un tiempo casi constante.

Comparación con el modelo UTXO de Bitcoin

Bitcoin utiliza un enfoque fundamentalmente diferente para evitar el doble gasto. En Bitcoin, cada entrada de transacción debe hacer referencia a una salida de transacción no gastada específica mediante su hash de transacción y su índice de salida. El conjunto UTXO es la lista completa de todas las salidas que se han creado pero que aún no se han gastado. Cuando una transacción gasta un UTXO, esa entrada se elimina del conjunto y se agregan las nuevas salidas creadas por la transacción.

Este modelo es transparente y eficiente. Los nodos pueden verificar rápidamente que existe un UTXO al que se hace referencia y que no se ha gastado. Sin embargo, no proporciona privacidad. Cualquiera que examine la cadena de bloques puede ver exactamente qué productos se están consumiendo, rastrear el flujo de fondos de una dirección a otra y crear un gráfico de transacciones completo de toda la red.

El enfoque de imagen clave de Monero logra la misma garantía contra el doble gasto sin esta transparencia. En lugar de apuntar a una UTXO específica, una transacción de Monero crea un anillo de resultados plausibles y demuestra que quien gasta posee uno de ellos. La imagen clave sirve como marcador de gasto único que estaría implícito en la eliminación de UTXO de Bitcoin, pero debe ser explícito en el diseño de preservación de la privacidad de Monero.

Compensaciones entre los dos enfoques

• Almacenamiento - El conjunto de UTXO de Bitcoin puede reducirse a medida que se gastan los productos. La base de datos de imágenes clave de Monero no hace más que crecer. Sin embargo, el tamaño por entrada de las imágenes clave es pequeño, lo que mitiga esta preocupación.
• Velocidad de verificación - Las búsquedas de Bitcoin UTXO son ligeramente más rápidas porque el conjunto es más pequeño y las entradas se eliminan con el tiempo. Las comprobaciones de imágenes clave de Monero siguen siendo eficientes pero operan con un conjunto de datos en constante crecimiento.
• Privacidad - El enfoque de Monero proporciona una privacidad muy superior a costa de almacenamiento adicional y gastos computacionales.
• Auditabilidad - El conjunto UTXO transparente de Bitcoin permite a cualquiera verificar el suministro total. Monero se basa en pruebas criptográficas adicionales (compromisos de Pedersen y pruebas de rango) para garantizar la integridad del suministro sin revelar cantidades individuales.

Imágenes clave en el contexto de las firmas en anillo

Las imágenes clave funcionan en conjunto con firmas de anillo para crear la privacidad del remitente de Monero. Una firma en anillo demuestra que el firmante posee la clave privada de una de varias claves públicas de un conjunto, sin revelar cuál. La imagen clave se adjunta a esta firma de anillo y se vincula a la salida gastada real a través de la construcción criptográfica.

La firma del anillo garantiza que los observadores no puedan determinar qué producción se está gastando. La imagen clave garantiza que cada salida solo se pueda gastar una vez. Juntos, proporcionan una solución completa: privacidad para el remitente e integridad de la red. Sin imágenes clave, las firmas en anillo por sí solas permitirían un doble gasto ilimitado, ya que nadie podría saber qué resultados ya se han consumido.

Desarrollos futuros: FCMP++ y más allá

La comunidad de Monero está desarrollando activamente pruebas de membresía de cadena completa (FCMP++), que ampliarán drásticamente el conjunto de anonimato del anillo actual de 16 miembros al conjunto completo de resultados en la cadena de bloques. Bajo FCMP++, las imágenes clave seguirán cumpliendo su papel fundamental como marcadores de prevención de doble gasto, pero las garantías de privacidad que brindan serán aún más fuertes ya que no habrá un pequeño grupo de candidatos para analizar.

Las imágenes clave representan una de las innovaciones más importantes de Monero: una prueba de que algo sucedió (se gastó una salida) sin revelar qué sucedió específicamente (qué salida fue). Esta capacidad aparentemente paradójica es lo que permite a Monero funcionar como un sistema monetario privado y confiable. Para aquellos que buscan realizar transacciones privadas con Monero, MoneroSwapper ofrece intercambios sin KYC que complementan la privacidad en cadena que las imágenes clave ayudan a garantizar.