门罗币（XMR）

门罗币（Monero，缩写：XMR）是一个创建于2014年4月开源加密货币，它着重于隐私、分权和可扩展性，使用区块链和隐私增强技术来隐藏交易，以实现匿名性和可替代性。观察者无法解读交易Monero的地址、交易金额、地址余额或交易历史^[1]。

与自比特币衍生的许多加密货币不同，Monero 基于 CryptoNote 协议，该协议是开源的，基于CryptoNote v2，这是尼古拉斯·范·萨伯哈根（Nicolas van Saberhagen）在2013年发布的一篇白皮书中描述的概念。开发者利用这一概念设计了Monero，并在2014年部署了其主网。Monero协议包括多种方法来隐藏交易细节，尽管用户可以选择分享查看密钥，以便第三方审计。交易通过运行RandomX的矿工网络进行验证，RandomX是一种工作量证明（proof-of-work）算法。该算法向矿工发放新币，并设计为抵抗专用集成电路（ASIC）挖矿，并在区块链模糊化方面有显著的算法差异^[2]。

Monero 的模块化代码结构得到了比特币核心维护者之一的Wladimir J. van der Laan的赞赏。Monero在2016年经历了市值（从5百万美元至1.85亿美元) 和交易量的快速增长，这部分是因为它在2016年夏季末期得到了主要的暗网市场AlphaBay的采用。截至2022年1月，Monero市值超过39亿美元，排名第42。

Monero的隐私特性吸引了加密朋克和希望获得其他加密货币未提供的隐私保护的用户。2022年发表的一项荷兰-意大利研究明确得出结论：“目前，Monero是无法追踪的。然而，这可能只是时间和努力的问题，直到它发生变化。”

由于其被认为是不可追踪的，Monero在洗钱、黑暗网市场、勒索软件、加密劫持和其他有组织犯罪等非法活动中得到了广泛使用。美国国税局（IRS）已发布悬赏，寻找能够开发Monero追踪技术的承包商^[3]。

背景[编辑 | 编辑源代码]

Monero的起源可以追溯到CryptoNote v2，这是一个加密货币协议，最初由推测使用化名的尼古拉斯·范·萨伯哈根（Nicolas van Saberhagen）于2013年10月发布的白皮书中提出。在该白皮书中，作者将隐私和匿名性描述为“电子现金最重要的方面”，并将比特币的可追踪性视为一个“关键缺陷”。一位在 Bitcointalk 论坛上的用户，网名为 thankful_for_today，将这些想法应用于他们所称的 BitMonero 币。然而，其他论坛用户对thankful_for_today为BitMonero设定的发展方向表示不满，并于2014年决定进行分叉，从而创造了 Monero。Monero在世界语中意为“硬币”。范·萨伯哈根和thankful_for_today至今仍然匿名^[4]。

Monero 拥有仅次于比特币和以太坊的第三大开发者社区。该协议的主要维护者曾是来自南非的开发者里卡多·斯帕尼（Riccardo Spagni）。大部分核心开发团队成员选择保持匿名^[5]。

对Monero协议和功能的改进，部分由 Monero研究实验室（Monero Research Lab, MRL）负责，其中一些成员同样保持匿名。

发展历程[编辑 | 编辑源代码]

2014年4月18日，Monero推出，原名为BitMonero，意指Bit（如Bitcoin）和Monero（字面意思是“世界语”中的“硬币”）。在五天后，社区选择将名称缩减至Monero。它是第一个基于CryptoNote货币之Bytecoin的分支，但有着两个主要差别。首先，目标块时间从120秒减少到60秒；其次，发行速度减速50％（后来Monero恢复到120秒的停留时间，同时保持发行时间，使每个新块的块奖励翻倍）。此外，Monero开发人员发现了许多低质量代码，随后将其清理和重构。在发布几周后，一个面向CryptoNight工作证明函数的优化的GPU挖矿器被开发。
2014年9月4日，Monero在一次针对加密货币网络的异常、新颖攻击后得到恢复。
2017年1月10日，通过使用 Bitcoin Core 开发人员 Gregory Maxwell 的环形机密交易（Ring Confidential Transactions）算法，Monero交易的隐私性自#1220516块起得到进一步加强。环形签名算法不向没有直接参与交易的人员揭示交易中所涉及的金额，从而增加了保密性。交易会默认启用 RingCT ，但在2017年9月的下一个硬分叉之前，仍可发送非RingCT的交易。截至二月初，超过95%的非投机性交易使用了可选的RingCT特征。
2018年3月18日，Coincheck称将下架 XMR、DASH 和 ZEC 三大匿名加密货币。另外许多韩国与日本的交易所也相继下架诸如 XMR、ZEC、DASH 等等这些具有匿踪匿名传输与交易功能的货币。推测可能与政府监管单位的要求有关。
2022年2月15日，MineXMR算力突破50%，达到50.159%，在Reddit社群曝光后急泻至38%，但仍长期徘徊在~40%。虽该矿池从未进行51%攻击，但仍造成不少人对网络安全性的质疑。

硬分叉[编辑 | 编辑源代码]

Monero v0.11.0.0 "Helium Hydra"[编辑 | 编辑源代码]

2017年9月15日，此硬分叉的改变有:

Ring Signature的最低大小增加至5
封禁一Ring Signature下重复使用同一Ring Member
强制所有交易输出采用RingCT

Monero v0.12.0.0 "Lithium Luna"[编辑 | 编辑源代码]

2018年4月6日，此硬分叉的改变有:

Ring Signature的最低大小增加至7
整理交易输入以免钱包可选择的输入被推论出
为防止ASICs进行DoS攻击而对共识机制做出细微改变

Monero v0.13.0.2 "Beryllium Bullet"[编辑 | 编辑源代码]

2018年10月18日，此硬分叉的改变有:

Ring Signature的大小统一改为11
共识机制改为CryptoNight v2
规定最高交易大小为无惩罚区块大小的一半
引入Bulletproofs以减低交易大小

Monero v0.14.0.2 "Boron Butterfly", Minor Point Release 0.2[编辑 | 编辑源代码]

2019年5月9日，此硬分叉的改变有:

共识机制改为CryptoNight-R
加入区块比重算法
引入较高效率的RingCT格式

Monero v0.15.0.0 "Carbon Chamael"[编辑 | 编辑源代码]

2019年11月12日，此硬分叉的改变有：

因应比特大陆的蚂蚁矿机X3系列矿机，共识机制改为RandomX
新增Android编译
自动搜寻公共节点、引导模式保护程序的切换
提升钱包和节点间的网络安全
服务系统的支付功能（节点提供支付RPC，或第三方透过挖矿来提供支付服务）
可选择使用Tor/I2P来中继交易，已获得更好的隐私性（区块的中继在 /clearnet 上进行）
新的 gen_ssl_cert 工具，生成 XMR 适用的 SSL 证书
新增对IPv6的支援
移除对于长支付ID的支援

截至2022年7月24日，RandomX 分叉使得全网算力达到了分叉之前的八倍（300M→2.5G），但算力是否过于集中还有待查证。

Monero v0.18.0.0 "Fluorine Fermi"[编辑 | 编辑源代码]

2022年8月13日，此硬分叉的改变有:

引入Bulletproofs+以减低交易大小及加快验证程序
Ring Signature的大小增加至16

特性[编辑 | 编辑源代码]

Monero是一个开源软件纯工作证明加密货币。它可以在 Windows、Mac、Linux 和 FreeBSD 上执行。其主要发行曲线将在约8年内发行约1840万枚币。（确切地说是1822.3万个硬币，于2022年6月9日#2641623进入Tail Emission，区块奖励减少至0.6XMR并维持）。其工作验证算法CryptoNight是为 AES 密集型和很消耗 RAM 的操作，这显著降低了 GPU 对 CPU 的优势。

抗ASIC理念[编辑 | 编辑源代码]

由于ASIC(特殊应用集成电路)的专一性，经过被特别设计的ASIC通常能够拥有比一般CPU、GPU甚至是FPGA的算力还要来的高上许多。目前比特币(BTC)等采用SHA256算法的币种，几乎所有的算力都来自于ASIC所供给。在一开始以对抗ASIC理念的莱特币(LTC)与达世币(DASH)，两者分别使用Scypt与X11算法。但后来仍然有IC设计公司开发出对应上述两种算法且具有比一般CPU、GPU甚至是FPGA的算力还要高上许多甚至更为省电的ASIC。而ASIC几乎只能由少数的公司设计，这使得由于ASIC的出现，将导致算力过于集中甚至能够被单一中心化机构垄断的问题。例如，政府可能向ASIC制造商要求增加一个"自杀开关"，这样使得其能从远端关闭或是控制矿机，而这将可能导致对整个区块链网络的运作造成威胁甚至完全失效。门罗币从一开始的开发理念中，就包含了对抗ASIC的理念。但其采用的CryptoNight算法为了能够让大多数CPU甚至FPGA能够参与并且获得挖矿奖励，而不是只有GPU能够有效率地进行挖矿。因此并没有像以太坊(ETH)等Ethash算法的币种，利用逐步增长的DAG来要求高速记忆体容量，以借由硬件制造成本来对抗ASIC。因此，门罗币的核心开发团队在过一定的时间会对共识机制的算法进行修改与进行硬分叉，以确保能够有效对抗ASIC的出现与算力垄断。

(UTC+8) 的 2019/3/9 一般使用CPU与GPU挖矿的用户将必须更新挖矿软件方能继续在硬分叉后进行挖矿。

新一次的分叉于 (UTC+8) 的 2019/12/1 上午 3:00 进行硬分叉至版本 v0.15.0.1 Carbon Chamaeleon，此次硬分叉可以说是在门罗币史上最大的一次共识机制算法 (PoW) 的更改，以长久的对抗 ASIC 对整个 XMR 网络带来的威胁。

本次硬分叉会将算法更改为 RandomX，不同于以往以 CryptoNight 为基底的部分更改，RandomX 在整个算法方面有着相当大的改动，从硬件算力可以得知，以往在 CryptoNight 上几乎已经没有任何优势的 CPU 挖矿，这回在 RandomX 上却是有着非常大的优势，尤其是以 AMD Ryzen 这种大 L3 快取的 CPU 系列而言。

门罗币在先前一直都有针对 PoW 共识算法以硬分叉做出更改的传统，以应付 ASIC 对整个门罗币的区块链网络带来的威胁，但基底一直都是 CryptoNight，也因此在硬分差后约莫 6 个多月就有可能出现相关的 ASIC，门罗币的相关开发者团队在与部分社群商讨后，决定要开发出一种可以有效长久抵御 ASIC 的 PoW 算法，以避免按照传统不断硬分叉的方式，虽然可以抵御 ASIC，但也致使自身的网络安全性产生质疑。

隐私[编辑 | 编辑源代码]

环签名在区块链分析中制造模糊性，Monero的核心功能是围绕隐私和匿名性。尽管它是一个公开且去中心化的账本，但所有交易细节都被隐藏。这与比特币形成鲜明对比，后者的所有交易细节、用户地址和钱包余额都是公开透明的。这些特性使Monero在加密无政府主义者、密码朋克和隐私倡导者中赢得了忠实的支持者^[6]。

Monero通过环签名（Ring Signatures）隐藏用户发送交易的输出（称为notes）。环签名将发送者的输出与其他虚拟输出分组，从而实现混淆。自2017年起，随着环机密交易（RingCTs）的实施，交易金额也被加密。开发者还引入了零知识证明方法“Bulletproofs”，它保证交易发生但不泄露交易金额。Monero的接收方通过“隐匿地址”（Stealth Addresses）受到保护，用户生成这些地址用于接收资金，但网络观察者无法将其追踪到实际拥有者。这些隐私功能默认在网络上强制执行^[7]。

Monero采用Dandelion++协议，该协议通过混淆产生交易的设备的IP地址来保护用户隐私。这是通过一种交易广播传播方法完成的：新交易最初传递给Monero点对点网络中的一个节点，并通过一种概率方法重复判断交易是应继续传递给单个节点，还是在一个称为泛洪（Flooding）的过程中广播给多个节点^[8]。

追踪交易的努力[编辑 | 编辑源代码]

2017年4月，研究人员指出了Monero用户隐私的三大主要威胁。第一种威胁是利用环签名的零大小，并通过交易输出金额进行分析。第二种威胁是“利用输出合并”（Leveraging Output Merging），这种方法涉及追踪属于同一用户的两个输出，例如当用户将资金发送给自己时（“搅动”或Churning）。最后，“时间分析”（Temporal Analysis）显示，在环签名中预测正确的输出比之前预想的要容易。2018年，研究人员发表了一篇题为《对Monero区块链可追踪性的实证分析》的论文，展示了潜在的漏洞^[9]。

2020年9月，美国国税局刑事调查部门（IRS-CI）悬赏62.5万美元，寻找能够开发Monero、其他隐私增强型加密货币、比特币闪电网络（Bitcoin Lightning Network）或其他“第二层协议”（Layer 2）追踪工具的承包商。该合同最终授予了区块链分析公司Chainalysis和Integra FEC。

分叉[编辑 | 编辑源代码]

2018年，门罗币的开发团队为了抵制比特大陆所制作出来的Antminer X3系列矿机，避免其网络受到矿工侵害，于是进行硬分叉，并且升级门罗币的网络算法，但硬分叉出来的项目却依旧使用CryptoNight算法，相关项目为：Monero Zero（XMZ）零系门罗币、Monero Original（XMO）原生门罗币、Monero-Classic（XMC）经典-门罗币、Monero Classic（XMC）经典门罗币、MoneroV（XMV）V版门罗币，而当前仍有效的项目为Monero-Classic（XMC）经典-门罗币及MoneroV（XMV）V版门罗币。

可扩展性[编辑 | 编辑源代码]

挖矿[编辑 | 编辑源代码]

Monero使用工作量证明（Proof-of-Work）算法RandomX来验证交易。该方法于2019年11月引入，用以取代之前的CryptoNightR算法。这两种算法都旨在抵抗ASIC挖矿，与比特币等其他加密货币中常见的ASIC挖矿不同。Monero可以在消费级硬件（如x86、x86-64、ARM和GPU）上实现较为高效的挖矿。这一设计决定基于Monero项目反对ASIC挖矿所带来的中心化，但也导致Monero在基于恶意软件的非自愿挖矿中变得十分流行^[10]。

门罗币当前的算法为RandomX，挖掘能使用CPU、GPU、RSIC(如Apple M1)等，唯CPU、RSIC效率较高，GPU则是因记忆体延时较高，效率低下。虽说如此，因botnet泛滥，只有部分高阶CPU能达到收支平衡，大部分“矿工”都只是为了维护网络安全而挖矿。

技术[编辑 | 编辑源代码]

RandomX[编辑 | 编辑源代码]

RandomX，为Random code eXecution的简写，RandomX通过执行浮点运算来避免ASICs/FPGAs等专用矿机。

Ring Signatures[编辑 | 编辑源代码]

Ring Signature是隐匿支付者身份的技术。Ring Signature以多个一次性密钥组成“环状签名”，不参与交易的第三方只能知道实质支付者为其中一人。

Key Image[编辑 | 编辑源代码]

Key Image，为Ring Signature之衍生品。为防止Double Spending，Ring Signature的输入端需计算出一组Key Image，每组Key Image在Blockchain上只能使用一次。Key Image不可反推出与Ring Signature支付者的关系（类似SHA-2的hash sum与input的关系，目前已知无有效攻击手段）。

RingCT[编辑 | 编辑源代码]

RingCT，全称Ring Confidential Transaction，意即环状机密交易。此技术能防止第三方窥探交易金额。

Stealth Address[编辑 | 编辑源代码]

Stealth Address，为隐匿收款者身份的技术。在每次交易中，都会生成Stealth Address，作为一次性的公开密钥。该密钥指明收款者才能在后续交易中，将款项作为输出使用。Stealth Address无法联系到收/付款者的身份或钱包位址，在Blockchain上收款者及款项没有联系，仅有支付者知道收款者的身份（或钱包位址）。

非法用途[编辑 | 编辑源代码]

Monero的隐私功能使其在非法活动中广受欢迎^[11]。

暗网市场[编辑 | 编辑源代码]

Monero是暗网市场上常见的交易媒介。2016年8月，暗网市场AlphaBay允许卖家接受Monero作为比特币的替代货币。该网站于2017年被执法部门关闭，但在2021年重新上线，并规定Monero为唯一允许的交易货币。2019年，路透社报道称，在五大暗网市场中，有三家接受Monero作为支付手段，尽管比特币仍是这些市场中最广泛使用的支付货币^[12]。

挖矿恶意软件[编辑 | 编辑源代码]

黑客将恶意软件嵌入网站和应用程序中，劫持受害者的CPU来挖掘Monero（有时被称为加密劫持）。2017年末，恶意软件和杀毒服务供应商开始屏蔽Coinhive——一种嵌入在网站和应用程序中的Monero挖矿脚本，有时是由黑客安装的。Coinhive设计这一脚本作为广告的替代品：网站或应用可以嵌入该脚本，利用访问者的CPU在访问网页内容的同时挖掘加密货币，并将部分收益分配给网站或应用所有者。但部分网站和应用在未经访问者同意的情况下启用脚本，甚至在某些情况下占用所有系统资源。因此，提供广告屏蔽订阅列表、杀毒服务和反恶意软件服务的公司屏蔽了这一脚本。此前，Coinhive曾被发现在Showtime流媒体平台和阿根廷星巴克的Wi-Fi热点中隐藏运行。2018年，研究人员发现类似的恶意软件在挖掘Monero后，将其发送至朝鲜的金日成综合大学^[13]。

勒索软件[编辑 | 编辑源代码]

Monero有时被勒索软件团伙使用。CNBC报道称，2018年上半年，44%的加密货币勒索攻击使用了Monero。

2017年，被美国政府归咎于朝鲜威胁组织的WannaCry勒索软件攻击中，攻击者试图将收取的比特币赎金兑换成Monero。据Ars Technica和Fast Company报道，兑换成功，但BBC News报道犯罪分子试图使用的服务ShapeShift否认发生了此类转账。虽然泄露了用于WannaCry攻击的漏洞的影子经纪人（The Shadow Brokers）不太可能参与攻击，但他们在2017年后期开始接受Monero作为支付方式^[14]。

2021年，CNBC、金融时报和《新闻周刊》报道，在Colonial Pipeline网络攻击事件中支付的比特币赎金被追回后，Monero需求随之增加。2021年5月的这次黑客攻击迫使该管道公司支付了440万美元的比特币赎金，然而美国联邦政府在次月追回了大部分资金。实施攻击的黑客组织DarkSide通常要求以比特币或Monero支付，但由于比特币的可追溯性风险较高，选择比特币支付需要支付10-20%的额外费用。勒索软件组织REvil于2021年取消了比特币支付选项，仅接受Monero。勒索软件谈判者（帮助受害者支付赎金的团体）联系了Monero开发者，以了解这项技术。但尽管如此，CNBC报道大多数勒索攻击仍要求以比特币支付，因为保险公司拒绝支付Monero赎金，原因是缺乏可追溯性。

监管应对[编辑 | 编辑源代码]

Monero与非法市场的联系导致一些加密货币交易所拒绝上架它。这使得用户难以将Monero兑换为法定货币或其他加密货币。由于监管压力，韩国和澳大利亚的交易所已将Monero及其他隐私币下架。

2018年，欧盟刑警组织Europol及其主管罗布·温赖特（Rob Wainwright）表示，犯罪分子将从比特币转向Monero，以及以太坊、Dash和Zcash。彭博社和CNN报道称，这种对Monero的需求源于执法机构对比特币区块链监控能力的提升^[15]。

2024年2月20日，加密货币交易所币安宣布因合规要求将下架Monero。

2024年4月11日，Kraken 宣布将于2024年6月10日停止向位于爱尔兰和比利时的用户提供Monero交易服务。截至2024年5月10日，Monero的存款和交易功能已被暂停。

宣传活动[编辑 | 编辑源代码]

在2017年团结右翼集会（Unite the Right rally）之后，许多在线支付平台关闭了对白人至上主义者的服务，包括克里斯托弗·坎特威尔（Christopher Cantwell）和安德鲁·奥恩海默（Andrew Auernheimer，别名 "weev"）在内的一些人开始使用并推广Monero。

2017年12月，Monero团队宣布与35位音乐人合作，Monero被用作他们在线商店的一种支付方式。

2018年11月，Bail Bloc发布了一款移动应用程序，该应用通过挖掘Monero来为那些无法支付保释金的低收入被告筹集资金。

2020年4月，Monero电影工作组发布了一部名为《Monero的意义：加密货币101，现场直播于莱比锡》（Monero Means Money: Cryptocurrency 101, Live from Leipzig）的纪录片。据电影统计网站The Numbers的数据，在2020年4月10日的那个周末（当时因新冠疫情电影院关闭），这部影片成为美国票房第二高的电影。该影片的收入被捐赠给独立电影院。

目前工作和周边项目[编辑 | 编辑源代码]

OpenAlias：一个广泛的区块链混叠（别名）系统
Kovri：一个在Monero中集成I2P的隐私解决方案
URS：一个匿名投票系统的概念验证，基于环签名
0MQ：一个客户端使用的C API库，用于连接Monero守护进程服务。
Bulletproofs：中文称作防弹协议，借由更改交易过程的数学模型以获得更低的交易手续费，并且不影响交易的隐私性。
Monero核心团队在继续远离原始的有众多补丁的Bytecoin代码，以及改善其CryptoNote协议的实现。

参考链接[编辑 | 编辑源代码]

↑ Blockchain: Capabilities, Economic Viability, and the Socio-Technical ... - Google Books
↑ Nope. You are confused. You should consider this great news because you are abou... | Hacker News
↑ The IRS Wants to Buy Tools to Trace Privacy-Focused Cryptocurrency Monero By Lorenzo Franceschi-Bicchierai
↑ Cryptocurrency Monero Is Skyrocketing Thanks to Darknet Druglords | WIRED
↑ What is monero? New cryptocurrency of choice for cyber criminals MacKenzie Sigalos
↑ 'Privacy coin' Monero offers near total anonymity | Reuters
↑ Bittercoin: true blockchain believers versus the trough of disillusionment | TechCrunch
↑ Dandelion++: Lightweight Cryptocurrency Networking with Formal Anonymity Guarantees: Proceedings of the ACM on Measurement and Analysis of Computing Systems: Vol 2, No 2
↑ PoPETs Proceedings — An Empirical Analysis of Traceability in the Monero Blockchain
↑ Cyber attackers are cashing in on cryptocurrency mining - but here's why they're avoiding bitcoin | ZDNET
↑ Meet Monero, the Currency Dark Net Dealers Hope Is More Anonymous Than Bitcoin
↑ He Escaped the Dark Web's Biggest Bust. Now He's Back | WIRED
↑ North Korea hackers create malware to mine monero Arjun Kharpal
↑ Researchers say WannaCry operator moved bitcoins to “untraceable” Monero - Ars Technica
↑ The Criminal Underworld Is Dropping Bitcoin for Another Currency - Bloomberg

[1] Blockchain: Capabilities, Economic Viability, and the Socio-Technical ... - Google Books

[2] Nope. You are confused. You should consider this great news because you are abou... | Hacker News

[3] The IRS Wants to Buy Tools to Trace Privacy-Focused Cryptocurrency Monero By Lorenzo Franceschi-Bicchierai

[4] Cryptocurrency Monero Is Skyrocketing Thanks to Darknet Druglords | WIRED

[5] What is monero? New cryptocurrency of choice for cyber criminals MacKenzie Sigalos

[6] 'Privacy coin' Monero offers near total anonymity | Reuters

[7] Bittercoin: true blockchain believers versus the trough of disillusionment | TechCrunch

[8] Dandelion++: Lightweight Cryptocurrency Networking with Formal Anonymity Guarantees: Proceedings of the ACM on Measurement and Analysis of Computing Systems: Vol 2, No 2

[9] PoPETs Proceedings — An Empirical Analysis of Traceability in the Monero Blockchain

[10] Cyber attackers are cashing in on cryptocurrency mining - but here's why they're avoiding bitcoin | ZDNET

[11] Meet Monero, the Currency Dark Net Dealers Hope Is More Anonymous Than Bitcoin

[12] He Escaped the Dark Web's Biggest Bust. Now He's Back | WIRED

[13] North Korea hackers create malware to mine monero Arjun Kharpal

[14] Researchers say WannaCry operator moved bitcoins to “untraceable” Monero - Ars Technica

[15] The Criminal Underworld Is Dropping Bitcoin for Another Currency - Bloomberg

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]