MoneroSwapper MoneroSwapper
Educación

Algoritmo de Selección de Señuelos de Monero: Cómo Se Eligen los Miembros del Anillo

MoneroSwapper Team · Apr 17, 2026 · 11 min read · 10 views

Por qué es importante la selección de señuelos

Las firmas de anillo de Monero funcionan mezclando una salida gastada real con un conjunto de salidas señuelo extraídas de la cadena de bloques. Cuando un usuario gasta Monero, su billetera selecciona varias otras salidas que posiblemente podrían ser las reales y construye una prueba criptográfica de que el gastador posee una de ellas sin revelar cuál. La seguridad de este plan depende fundamentalmente de cómo se elijan esos señuelos. Si el algoritmo de selección tiene sesgos predecibles, el análisis estadístico puede limitar qué salida es el gasto real, lo que podría desanonimizar al remitente.

Considere un enfoque ingenuo en el que los señuelos se seleccionan uniformemente al azar de todas las salidas de la cadena de bloques. Esto parece justo, pero crea un problema inmediato. Los gastos reales tienden a ocurrir relativamente pronto después de que se reciben los productos. La gente recibe Monero y lo gasta en días o semanas, no en años. Si los señuelos se seleccionan con la misma probabilidad de toda la historia de blockchain, la mayoría de los señuelos serán resultados antiguos, y el resultado creado recientemente en el anillo se destacará como el gasto real más probable. Un atacante que conozca la distribución del comportamiento de gasto puede asignar probabilidades a cada miembro del anillo y reducir significativamente el anonimato efectivo.

Es por eso que Monero utiliza una distribución de probabilidad cuidadosamente diseñada para la selección de señuelos en lugar de un muestreo aleatorio uniforme. El objetivo es hacer que el patrón de selección de señuelos coincida tan estrechamente con el patrón de gasto real que el análisis estadístico no pueda distinguir los gastos reales de los señuelos.

El modelo de distribución gamma

El algoritmo de selección de señuelos actual de Monero utiliza una distribución gamma modificada para determinar la edad de las salidas de los señuelos. La distribución gamma es una distribución de probabilidad continua que, cuando se parametriza adecuadamente, produce una curva que asigna mayor probabilidad a los resultados recientes y menor probabilidad a los más antiguos, imitando fielmente cómo las personas realmente gastan su Monero.

Los parámetros específicos de la distribución gamma utilizada por Monero se han calibrado mediante un análisis empírico de los patrones de gasto en la cadena de bloques. Los investigadores estudiaron la distribución de los intervalos de tiempo entre el momento en que se crean los productos y el momento en que realmente se gastan en una gran muestra de transacciones. Se encontró que la distribución gamma proporciona un buen ajuste para este comportamiento de gasto observado.

Cuando su billetera construye una transacción, toma muestras de esta distribución gamma para determinar la compensación de edad para cada señuelo. Luego selecciona una salida real de la cadena de bloques que coincida lo más posible con esta edad. El resultado es un conjunto de miembros del anillo cuyas edades son estadísticamente indistinguibles de un conjunto de gastos reales, lo que dificulta que un observador determine cuál es genuino basándose únicamente en el tiempo.

Por qué ni siquiera la distribución es óptima

Intuitivamente, uno podría pensar que seleccionar señuelos con igual probabilidad de todos los resultados proporcionaría el mejor anonimato, ya que todos los resultados parecen igualmente probables. Sin embargo, este razonamiento es erróneo porque ignora el conocimiento que tiene el atacante sobre los patrones de gasto.

Un atacante que sabe que la mayoría de los gastos reales se producen a los pocos días de la creación de resultados puede asignar inmediatamente una probabilidad muy baja a los miembros del anillo que tienen meses o años. Si el proceso de selección de señuelos se eligiera de manera uniforme, la mayoría de los anillos contendrían muchos resultados antiguos y uno o dos recientes, lo que haría que los resultados recientes fueran candidatos obvios para el gasto real. Al seleccionar señuelos según la misma distribución que los gastos reales, cada miembro de la red tiene un perfil de edad plausible y el conocimiento previo del atacante sobre los patrones de gasto no proporciona ninguna ventaja.

Evolución del tamaño del anillo

El número de miembros del anillo en las transacciones de Monero ha aumentado varias veces a lo largo de la historia del proyecto, lo que refleja el compromiso continuo de la comunidad para fortalecer la privacidad.

  • Monero temprano (2014-2016) - Los tamaños de los anillos eran opcionales y variables. Los usuarios podían elegir su propio tamaño de anillo, con un mínimo de 3. Muchos usuarios eligieron el mínimo y algunos incluso utilizaron el tamaño de anillo 1, lo que no proporcionaba ninguna privacidad al remitente.
  • Talla de anillo mínima obligatoria 5 (2016) - Un hard fork estableció un tamaño de anillo mínimo obligatorio, asegurando que todas las transacciones proporcionaran al menos una privacidad básica al remitente.
  • Talla de anillo 7 (2018) - El tamaño de anillo obligatorio se aumentó a 7, lo que proporciona mayores garantías de anonimato.
  • Talla de anillo 11 (2019) - Un nuevo aumento llevó el tamaño del anillo a 11, que fue el estándar durante varios años.
  • Talla de anillo 16 (2024) - El aumento más reciente amplió los anillos a 16 miembros, aumentando significativamente el anonimato establecido para cada transacción.

Cada aumento en el tamaño del anillo dificulta la desanonimización estadística al ampliar el conjunto de gastos reales plausibles. Sin embargo, los anillos más grandes también aumentan el tamaño de las transacciones y los tiempos de verificación, creando un equilibrio entre privacidad y eficiencia. La comunidad evalúa cuidadosamente estas compensaciones antes de cada aumento.

El ataque de salida envenenada

Uno de los ataques más estudiados contra el esquema de firma de anillo de Monero es el ataque de salida envenenada, también conocido como ataque de inundación o ataque heurístico. En este ataque, un adversario crea una gran cantidad de salidas en la cadena de bloques que controla. Debido a que el adversario sabe cuáles de sus resultados se gastan y cuáles no, puede eliminar sus propios resultados de la consideración cuando aparecen como señuelos en los anillos de otros usuarios.

Así es como funciona en la práctica. Un adversario genera miles de transacciones enviándose Monero a sí mismo, creando un gran conjunto de resultados que controla. Cuando un usuario normal crea una firma de anillo, algunos de los señuelos seleccionados al azar pueden ser resultados pertenecientes al adversario. El adversario sabe si sus propios productos se han gastado, por lo que puede determinar que esos productos son señuelos en el círculo de la víctima. Al eliminar sus señuelos conocidos, el adversario reduce el tamaño efectivo del anillo, identificando potencialmente el gasto real.

Mitigaciones

Varios factores mitigan la eficacia de los ataques de salida envenenada. Primero, ejecutar el ataque a escala es costoso porque requiere crear muchas transacciones con Monero real, lo que incurre en tarifas de transacción. En segundo lugar, cuanto mayor sea el tamaño del anillo, más resultados deberá controlar el atacante para reducir significativamente el anonimato. Con un tamaño de anillo de 16, un atacante necesitaría controlar una fracción muy grande de todas las salidas de blockchain para tener un impacto significativo. En tercer lugar, la comunidad de Monero ha implementado restricciones de edad de salida y otras heurísticas que dificultan que las salidas de inundaciones creadas recientemente sean seleccionadas como señuelos.

Riesgos del análisis temporal

Incluso con un algoritmo de selección bien diseñado, el análisis temporal sigue siendo una preocupación. El análisis temporal explota el momento de las transacciones y los resultados para hacer inferencias sobre qué miembro del anillo realiza el gasto real.

Por ejemplo, si una transacción se transmite inmediatamente después de que se crea un resultado específico y ese resultado aparece en el anillo de la transacción, existe una mayor probabilidad de que este resultado sea el gasto real. El software de billetera mitiga esto al garantizar que los anillos siempre contengan una combinación de edades consistente con la distribución gamma, pero las correlaciones de tiempo a nivel de red aún pueden proporcionar pistas.

Otro vector de análisis temporal implica observar el conjunto de memoria. Si un observador ve que llega un resultado al mempool y poco después ve una nueva transacción que incluye este resultado en su anillo, la correlación temporal sugiere que el resultado puede ser el gasto real. Dandelion++, el protocolo de privacidad a nivel de red de Monero, ayuda a mitigar esto al ocultar el origen y el momento de las transmisiones de transacciones.

Debilidades conocidas en la selección de señuelos históricos

La investigación ha identificado varias debilidades en versiones anteriores del algoritmo de selección de señuelos de Monero. Antes de que se adoptara el modelo de distribución gamma, el algoritmo de selección tenía sesgos que permitían la desanonimización estadística de una fracción significativa de las transacciones. Los artículos académicos demostraron que al analizar la distribución de edades de los miembros del anillo en muchas transacciones, los investigadores podían identificar el gasto real con una precisión significativamente mayor que la casualidad.

Estos hallazgos impulsaron el cambio al modelo de distribución gamma y motivaron la investigación en curso para mejorar el algoritmo de selección. El Laboratorio de Investigación de Monero colabora activamente con investigadores académicos para identificar y abordar las debilidades antes de que puedan explotarse en la práctica.

Investigación y mejoras actuales

La comunidad de investigación de Monero continúa estudiando y perfeccionando el proceso de selección de señuelos. Las áreas activas de investigación incluyen una mejor modelización del comportamiento real del gasto utilizando conjuntos de datos más grandes, algoritmos de selección adaptativos que ajustan sus parámetros a medida que los patrones de gasto cambian con el tiempo y técnicas para hacer que el proceso de selección sea más resistente a la manipulación adversaria.

Una línea de investigación prometedora implica agrupar los resultados por grupos de edad y seleccionarlos dentro de estos contenedores para crear distribuciones de apariencia más natural. Otro enfoque considera la estructura del gráfico de transacciones, evitando selecciones que creen patrones estadísticamente inusuales cuando se analizan múltiples transacciones juntas.

FCMP++: Eliminando por completo el problema de los señuelos

El desarrollo más interesante en la hoja de ruta de privacidad de Monero son las Pruebas de membresía de cadena completa, conocidas como FCMP++. Esta actualización del protocolo cambiará fundamentalmente cómo funciona la privacidad del remitente al eliminar por completo el concepto de señuelos.

Con FCMP++, en lugar de seleccionar un pequeño anillo de 16 salidas señuelo, cada transacción demuestra que la salida real gastada pertenece al conjunto de todas las salidas en toda la cadena de bloques. El conjunto de anonimato se expande de 16 a millones, lo que hace que el análisis estadístico de la composición del anillo sea completamente inviable. No hay señuelos que analizar porque cada salida en la cadena de bloques es igualmente candidata.

FCMP++ logra esto utilizando técnicas criptográficas avanzadas que incluyen árboles de curvas y pruebas de conocimiento cero que pueden demostrar de manera eficiente la pertenencia a conjuntos muy grandes. La sobrecarga computacional y de almacenamiento es manejable a pesar del enorme anonimato establecido, lo que hace que este enfoque sea práctico para la implementación en el mundo real.

Cuando se activa FCMP++, toda la categoría de ataques basados ​​en el análisis de selección de señuelos queda obsoleta. Los ataques de producción envenenada, el análisis temporal de la composición del anillo y la desanonimización estadística mediante la comparación de patrones de gasto se volverán ineficaces. Esto representa un salto cualitativo en las garantías de privacidad de Monero y demuestra el compromiso del proyecto con la mejora continua.

Hasta que llegue FCMP++, el actual algoritmo de selección de señuelos con su modelo de distribución gamma y anillos de 16 miembros proporciona una gran privacidad práctica. Para aquellos que quieran realizar transacciones con Monero hoy, MoneroSwapper ofrece intercambios anónimos que complementan la privacidad en cadena proporcionada por firmas de anillo y selección de señuelos.

🌍 Leer en

English Português Español Deutsch Français Italiano Русский 中文 한국어 日本語 Türkçe ไทย Tiếng Việt Indonesia हिन्दी العربية فارسی עברית Melayu Filipino

Comparte este artículo

Artículos Relacionados

Auge y Caída de Haven Protocol: Lecciones para el Ecosistema Monero

Apr 18, 2026

Key Images en Monero: El Mecanismo que Previene el Doble Gasto

Apr 16, 2026

Tiempos de Confirmación de Monero: ¿Cuánto Tardan las Transacciones?

Apr 14, 2026

Exchange de Monero Anónimo

Sin KYC • Sin Registro • Intercambio Instantáneo

Intercambiar Ahora