Key Images no Monero: O Mecanismo que Previne Gasto Duplo

O problema do gasto duplo em moedas de privacidade

Cada criptomoeda deve resolver o problema do gasto duplo: garantir que a mesma moeda não possa ser gasta duas vezes. Em blockchains transparentes como o Bitcoin, isso é simples. Cada entrada de transação faz referência a uma saída de transação não gasta específica, e toda a rede pode verificar se essa saída não foi consumida antes. O livro-razão é um livro aberto. Qualquer pessoa pode rastrear a cadeia de propriedade de uma transação para outra e confirmar se os saldos são legítimos.

Monero enfrenta uma versão fundamentalmente mais difícil deste problema. Como o Monero oculta o remetente, o destinatário e o valor de cada transação, a rede não pode simplesmente verificar se uma determinada saída foi gasta. As assinaturas em anel obscurecem qual saída está realmente sendo consumida, misturando-a com iscas, e endereços furtivos garantem que as saídas não possam ser vinculadas aos seus destinatários. Se o blockchain não consegue identificar qual produto específico está sendo gasto, como pode evitar que alguém gaste o mesmo produto duas vezes?

A resposta está em um dos mecanismos criptográficos mais elegantes do Monero: imagens-chave. As imagens principais fornecem uma garantia matemática de que cada produção só pode ser gasta uma vez, sem revelar qual produção está sendo gasta. Eles são a ponte entre a privacidade absoluta do Monero e a integridade necessária para um sistema monetário funcional.

O que é uma imagem principal?

Uma imagem chave é um marcador criptográfico exclusivo gerado e publicado sempre que uma saída do Monero é gasta em uma transação. Tecnicamente, uma imagem chave é um ponto em uma curva elíptica derivada deterministicamente da chave privada única associada a uma saída específica. As propriedades críticas de uma imagem principal são as seguintes:

• Singularidade - Cada saída produz exatamente uma imagem principal. Duas saídas diferentes sempre produzirão imagens-chave diferentes, e a mesma saída sempre produzirá a mesma imagem-chave, independentemente de quando ou quantas vezes o cálculo for realizado.
• Derivação unilateral - A imagem da chave é calculada a partir da chave privada, mas a chave privada não pode ser recuperada da imagem da chave. Isso é semelhante ao funcionamento de uma função hash: fácil de calcular em uma direção, computacionalmente inviável de reverter.
• Desvinculabilidade - A imagem principal não revela a qual saída na assinatura do anel ela corresponde. Um observador que vê uma imagem chave publicada na blockchain não pode determinar qual dos membros do anel é a saída real gasta.

Como as imagens principais são geradas

Para entender a geração de imagens principais, é útil revisar brevemente como funcionam os resultados do Monero. Quando alguém lhe envia Monero, a transação cria um endereço furtivo único especificamente para esse pagamento. Este endereço furtivo é derivado de suas chaves públicas e de um valor aleatório escolhido pelo remetente. Somente você, como destinatário, pode calcular a chave privada única correspondente para esse endereço furtivo usando sua chave privada de gastos.

Mais tarde, quando você decidir gastar esse resultado, sua carteira calculará a imagem principal usando a fórmula: KI = x * HP(P), onde x é sua chave privada única para a saída, Hp é uma função hash-to-point que mapeia a chave pública P para um ponto na curva elíptica e P é a chave pública única da saída. O resultado é um ponto de curva exclusivo para essa saída específica e para essa chave privada específica.

Este cálculo é determinístico. Não importa quantas vezes você calcule a imagem principal para uma determinada saída, você sempre obterá o mesmo resultado. E nenhuma outra saída existente produzirá a mesma imagem de chave, porque cada saída possui um par de chaves único e único. Esse determinismo é o que torna possível a detecção de gastos duplos.

Como as imagens principais evitam gastos duplos

Cada transação Monero que gasta uma saída deve incluir a imagem chave correspondente. Quando os mineradores recebem uma nova transação, eles verificam a imagem da chave em um banco de dados de todas as imagens da chave que apareceram em transações anteriores. Se a imagem chave nunca foi vista antes, a transação é potencialmente válida e pode ser incluída em um bloco. Se a imagem chave já existir no banco de dados, a transação está tentando gastar uma saída que já foi consumida e é rejeitada como uma tentativa de gasto duplo.

Este mecanismo é lindamente simples em sua lógica. A rede não precisa saber qual produção foi gasta. Não é necessário rastrear a cadeia de propriedade. Não é necessário descriptografar nenhum valor ou identificar nenhum participante. Tudo o que precisa fazer é manter um conjunto de imagens-chave observadas e rejeitar qualquer transação que tente adicionar uma duplicata. O banco de dados de imagens principais cresce monotonicamente à medida que o blockchain se estende, e cada gasto válido adiciona exatamente uma nova entrada.

Por que as imagens principais não comprometem a privacidade

Uma preocupação natural é se a publicação de imagens importantes cria um vazamento de privacidade. Se cada saída gasta tiver uma imagem-chave exclusiva, um invasor poderia usar imagens-chave para vincular as saídas aos seus proprietários ou rastrear padrões de gastos? A resposta é não, devido às propriedades matemáticas da construção da imagem chave.

A imagem da chave é derivada da chave privada única, que é derivada de uma combinação do valor aleatório do remetente e das chaves privadas do destinatário. Sem conhecer a chave de gasto privada do destinatário, é computacionalmente inviável determinar a qual saída corresponde uma determinada imagem de chave. A assinatura do anel prova que o gastador conhece a chave privada de um dos membros do anel, e a imagem da chave prova que esta saída específica não foi gasta antes, mas nenhuma informação revela qual membro do anel é o real.

Além disso, as imagens principais de diferentes transações não podem ser correlacionadas para determinar se pertencem à mesma carteira. Cada saída possui um par de chaves único e único, de modo que as imagens-chave produzidas pelas várias saídas de uma única carteira parecem completamente não relacionadas entre si.

O banco de dados de imagens principais

Os mineradores Monero e os nós completos mantêm um banco de dados completo de cada imagem chave que já apareceu em uma transação válida no blockchain. Este banco de dados é um componente crítico do consenso. Ao validar um novo bloco, os nós verificam as imagens-chave de cada transação neste banco de dados para garantir que não existam duplicatas.

O banco de dados de imagens principais cresce a cada transação e nunca diminui. Ao contrário do conjunto UTXO do Bitcoin, que pode crescer e diminuir à medida que os resultados são criados e consumidos, o conjunto de imagens principais do Monero é apenas anexado. Esta é uma compensação necessária para a privacidade: uma vez que os resultados gastos não podem ser publicamente identificados e removidos do conjunto de potenciais membros do anel, a base de dados de imagens chave deve persistir indefinidamente para evitar tentativas históricas de gastos duplos.

A partir de 2026, o banco de dados de imagens principais contém milhões de entradas, mas cada entrada tem apenas 32 bytes, tornando o requisito total de armazenamento gerenciável mesmo em hardware modesto. As pesquisas são realizadas usando estruturas de dados eficientes que permitem a detecção de duplicatas em tempo quase constante.

Comparação com o modelo UTXO do Bitcoin

O Bitcoin usa uma abordagem fundamentalmente diferente para evitar gastos duplos. No Bitcoin, cada entrada de transação deve fazer referência a uma saída de transação não gasta específica por meio de seu hash de transação e índice de saída. O conjunto UTXO é a lista completa de todas as saídas que foram criadas, mas ainda não gastas. Quando uma transação gasta um UTXO, essa entrada é removida do conjunto e as novas saídas criadas pela transação são adicionadas.

Este modelo é transparente e eficiente. Os nós podem verificar rapidamente se um UTXO referenciado existe e não foi gasto. No entanto, ele fornece privacidade zero. Qualquer pessoa que examine o blockchain pode ver exatamente quais resultados estão sendo consumidos, rastrear o fluxo de fundos de um endereço para outro e construir um gráfico completo de transações de toda a rede.

A abordagem de imagem principal do Monero alcança a mesma garantia anti-gasto duplo sem esta transparência. Em vez de apontar para um UTXO específico, uma transação Monero cria um anel de resultados plausíveis e prova que o gastador possui um deles. A imagem principal serve como um marcador exclusivo de gasto que estaria implícito na remoção do UTXO do Bitcoin, mas deve ser explícito no design de preservação da privacidade do Monero.

Trade-offs entre as duas abordagens

• Armazenar - O conjunto UTXO do Bitcoin pode diminuir à medida que os resultados são gastos. O banco de dados de imagens principais do Monero só cresce. No entanto, o tamanho por entrada das imagens principais é pequeno, atenuando esta preocupação.
• Velocidade de verificação - As pesquisas Bitcoin UTXO são um pouco mais rápidas porque o conjunto é menor e as entradas são removidas com o tempo. As principais verificações de imagens do Monero permanecem eficientes, mas operam em um conjunto de dados cada vez maior.
• Privacidade - A abordagem do Monero oferece privacidade muito superior ao custo de armazenamento adicional e sobrecarga computacional.
• Auditabilidade - O conjunto UTXO transparente do Bitcoin permite que qualquer pessoa verifique o fornecimento total. Monero depende de provas criptográficas adicionais (compromissos Pedersen e provas de intervalo) para garantir a integridade do fornecimento sem revelar valores individuais.

Imagens-chave no contexto das assinaturas de anel

As imagens principais funcionam em conjunto com as assinaturas de anel para criar a privacidade do remetente do Monero. Uma assinatura em anel prova que o signatário possui a chave privada de uma das várias chaves públicas de um conjunto, sem revelar qual. A imagem chave é anexada a esta assinatura de anel e vinculada à produção real gasta por meio da construção criptográfica.

A assinatura do anel garante que os observadores não possam determinar qual produto está sendo gasto. A imagem principal garante que cada saída só possa ser gasta uma vez. Juntos, eles fornecem uma solução completa: privacidade para o remetente e integridade para a rede. Sem imagens-chave, as assinaturas por si só permitiriam gastos duplos ilimitados, uma vez que ninguém poderia dizer quais resultados já haviam sido consumidos.

Desenvolvimentos Futuros: FCMP++ e Além

A comunidade Monero está desenvolvendo ativamente Provas de Membro de Cadeia Completa (FCMP++), que expandirão drasticamente o conjunto de anonimato do anel atual de 16 membros para todo o conjunto de resultados no blockchain. No âmbito do FCMP++, as imagens-chave continuarão a desempenhar o seu papel crítico como marcadores de prevenção de gastos duplos, mas as garantias de privacidade que proporcionam serão ainda mais fortes, uma vez que não haverá um pequeno círculo de candidatos para analisar.

As imagens principais representam uma das inovações mais importantes do Monero: uma prova de que algo aconteceu (um resultado foi gasto) sem revelar o que aconteceu especificamente (que resultado foi). Esta capacidade aparentemente paradoxal é o que permite ao Monero funcionar como um sistema monetário privado e confiável. Para aqueles que desejam fazer transações privadas com Monero, MoneroSwapper oferece trocas sem KYC que complementam a privacidade na rede que as imagens principais ajudam a garantir.