Laboratório de Pesquisa Monero

O Monero não está somente comprometido em criar uma moeda fungível, mas também em seguir com a pesquisa acadêmica no campo da privacidade financeira que envolvem as criptomoedas. Abaixo você pode consultar o trabalho do nosso Laboratório de Pesquisa Monero, com mais artigos por vir. To contact the Monero Research Lab, please email [email protected]

Artigos do Laboratório de Pesquisa Monero (em Inglês)

NOTE: this paper has been retracted, but it's possible to view it clicking on 'All versions of this report'.

Abstrato: Transações confidenciais são usadas em sistemas distribuídos de ativos digitais para demonstrar o saldo de valores escondidos em comprometimentos, ainda mantendo a ambiguidade do signatário. Trabalhos anteriores descrevem uma prova de conhecimento com signatários ambíguos para abertura de comprometimentos à zero no mesmo índice ao longo de múltiplos conjuntos públicos de comprometimentos e a avaliação de uma função randômica verificável usada como rótudo de ligação, e utiliza desta propriedade para construir uma assinatura em anel associável chamada Triptych que pode ser usada como bloco construtor para um modelo de transações confidenciais. Neste trabalho, estendemos Triptych para construir Arcturus, um sistema de prova que prova o conhecimento de aberturas de múltiplos comprometimentos à zero dentro de um único conjunto, correta construção de uma função randômica verificável avaliada a cada abertura, e equilíbrio do valor ao longo de uma lista separada de comprometimentos dentro de uma única prova. Embora a solidez dependa de uma nova suposição da dificuldade do problema do duplo logaritmo discreto, nós utilizamos dados do blockchain do Monero para mostrar que Arcturus pode ser usado em um modelo de transação confidencial para fornecer verificação total em lotes mais rápidas do que outras construções no estado da arte que não quererem um setup de confiança.

Abstrato: Ring signatures are a common construction used to provide signer ambiguity among a non-interactive set of public keys specified at the time of signing. Unlike early approaches where signature size is linear in the size of the signer anonymity set, current optimal solutions either require centralized trusted setups or produce signatures logarithmic in size. However, few also provide linkability, a property used to determine whether the signer of a message has signed any previous message, possibly with restrictions on the anonymity set choice. Here we introduce Triptych, a family of linkable ring signatures without trusted setup that is based on generalizations of zero-knowledge proofs of knowledge of commitment openings to zero. We demonstrate applications of Triptych in signer-ambiguous transaction protocols by extending the construction to openings of parallel commitments in independent anonymity sets. Signatures are logarithmic in the anonymity set size and, while verification complexity is linear, collections of proofs can be efficiently verified in batches. We show that for anonymity set sizes practical for use in distributed protocols, Triptych offers competitive performance with a straightforward construction.

Abstrato: Demonstramos que uma versão que assume a impossibilidade de enganar sob o disfarce de outro usuário é uma definição natural da impossibilidade de forjar uma assinatura em anel vinculado. Oferecemos uma variante de estrutura da assinatura em anel vinculado que permite criar assinaturas curtas e com chaves multidimensionais que serão vinculadas anonimamente sob condição de mudança de complexidade da solução do problema da Diffie-Hellman com os oráculos aleatórios vinculados, caso a agregação de chaves seja uma função unilateral, e também tornará impossível trapacear sob o disfarce de outro usuário se pelo menos uma variante de solução de um problema de logaritmo discreto for difícil. Damos algumas variantes de aplicação dentro dos limites dos modelos de transações confidenciais com ocultação do signatário, não exigindo setups de confiança.

Abstrato: This technical note describes an algorithm used to prove knowledge of the same discrete logarithm across different groups. The scheme expresses the common value as a scalar representation of bits, and uses a set of ring signatures to prove each bit is a valid value that is the same (up to an equivalence) across both scalar groups.

Abstrato: We present threshold ring multi-signatures (thring signatures) for collaborative computation of ring signatures, present a game of existential forgery for thring signatures, and discuss uses of thring signatures in digital currencies that include spender-ambiguous cross-chain atomic swaps for confidential amounts without a trusted setup. We present an implementation of thring signatures that we call linkable spontaneous threshold anonymous group signatures, and prove the implementation existentially unforgeable.

Abstrato: This bulletin describes a modification to Monero's linkable ring signature scheme that permits dual-key outputs as ring members. Key images are tied to both output one-time public keys in a dual, preventing both keys in that transaction from being spent separately. This method has applications to non-interactive refund transactions. We discuss the security implications of the scheme.

Abstrato: This technical note generalizes the concept of spend outputs using basic set theory. The definition captures a variety of earlier work on identifying such outputs. We quantify the effects of this analysis on the Monero blockchain and give a brief overview of mitigations.

Abstrato: Usuários da criptomoeda Monero que desejam reutilizar endereços da carteira de forma não-rastreável devem manter carteiras separadas, sendo necessário o escaneamento de cada um em separado. Nós documentamos um novo esquema de endereços que permite ao usuário manter um endereço da carteira principal e gerar um número arbitrário de subendereços não-rastreáveis. Cada transação necessita ser verificada apenas uma vez para determinar se é destinada a algum subendereço do usuário. Além disso, o esquema suporta múltiplas saídas para outros subendereços e é tão eficiente quanto as transações da carteira principal.

Abstrato: This article introduces a method of hiding transaction amounts in the strongly decentralized anonymous cryptocurrency Monero. Similar to Bitcoin, Monero is a cryptocurrency which is distributed through a proof of work “mining” process. The original Monero protocol was based on CryptoNote, which uses ring signatures and one-time keys to hide the destination and origin of transactions. Recently the technique of using a commitment scheme to hide the amount of a transaction has been discussed and implemented by Bitcoin Core Developer Gregory Maxwell. In this article, a new type of ring signature, A Multi-layered Linkable Spontaneous Anonymous Group signature is described which allows for hidden amounts, origins and destinations of transactions with reasonable efficiency and verifiable, trustless coin generation. Some extensions of the protocol are provided, such as Aggregate Schnorr Range Proofs, and Ring Multisignature. The author would like to note that early drafts of this were publicized in the Monero Community and on the bitcoin research irc channel. Blockchain hashed drafts are available in [14] showing that this work was started in Summer 2015, and completed in early October 2015. An eprint is also available at

Abstrato: We identify several blockchain analysis attacks available to degrade the untraceability of the CryptoNote 2.0 protocol. We analyze possible solutions, discuss the relative merits and drawbacks to those solutions, and recommend improvements to the Monero protocol that will hopefully provide long-term resistance of the cryptocurrency against blockchain analysis. Our recommended improvements to Monero include a protocol-level network-wide minimum mix-in policy of n = 2 foreign outputs per ring signature, a protocol-level increase of this value to n = 4 after two years, and a wallet-level default value of n = 4 in the interim. We also recommend a torrent-style method of sending Monero output. We also discuss a non-uniform, age-dependent mix-in selection method to mitigate the other forms of blockchain analysis identified herein, but we make no formal recommendations on implementation for a variety of reasons. The ramifications following these improvements are also discussed in some detail. This research bulletin has not undergone peer review, and reflects only the results of internal investigation.

Abstrato: Recently, there have been some vague fears about the CryptoNote source code and protocol floating around the internet based on the fact that it is a more complicated protocol than, for instance, Bitcoin. The purpose of this note is to try and clear up some misconceptions, and hopefully remove some of the mystery surrounding Monero Ring Signatures. I will start by comparing the mathematics involved in CryptoNote ring signatures (as described in [CN]) to the mathematics in [FS], on which CryptoNote is based. After this, I will compare the mathematics of the ring signature to what is actually in the CryptoNote codebase.

Abstrato: Em 4 de setembro de 2014, um ataque inusitado e inédito foi executado contra a rede da criptomoeda Monero. Este ataque dividiu a rede em dois subconjuntos distintos que se recusaram a aceitar a legitimidade do outro subconjunto. Isto teve inúmeros efeitos, nem todos são conhecidos ainda. O invasor teve uma pequena janela de tempo durante a qual uma espécie de falsificação poderia ocorrer, por exemplo. Este boletim de pesquisa descreve deficiências no código referência do CryptoNote permitindo este ataque, descreve a solução inicialmente apresentada por Rafal Freeman da e posteriormente pela equipe do CryptoNote, descreve a correção atual na base de código Monero e elabora exatamente o que o bloco ofensor fez com a rede. Este boletim de pesquisa não foi submetido à revisão por pares e reflete apenas os resultados de uma investigação interna.

Abstrato: Este boletim de pesquisa descreve um ataque plausível a um sistema de anonimato baseado em assinaturas em anel. Usamos ostensivamente como motivação o protocolo CryptoNote 2.0 publicado por Nicolas van Saberhagen em 2012. Foi previamente demonstrado que a não-rastreabilidade que obscurece um par de chaves de uma só vez pode ser dependente da não-rastreabilidade de todas as outras chaves utilizadas na composição dessa assinatura em anel. Isto permite a possibilidade de reações em cadeia na rastreabilidade entre assinaturas em anéis, causando uma perda crítica na não-rastreabilidade em toda a rede se os parâmetros forem mal escolhidos e se um invasor possuir uma porcentagem suficiente da rede. As assinaturas ainda são únicas, entretanto, e qualquer ataque desse tipo não necessariamente violará o anonimato dos usuários. Entretanto, tal ataque pode plausivelmente enfraquecer a resistência que o CryptoNote oferece contra análises de blockchain. Este boletim de pesquisa não foi submetido à revisão por pares, e reflete apenas os resultados de uma investigação interna.

Resumo: Monero usa uma função hash única que transforma escalares em pontos de uma curva elíptica. É útil na criação de imagens-chave, por exemplo. Este documento, cujo autor é Shen Noether, traduz sua implementação (a função ge_fromfe_frombytes_vartime()) em expressões matemáticas.