「密码朋克」门罗币的隐私升级：FCMP++、未竟的数字现金革命，与量子时代的隐私保卫战

当加密货币与监管共舞时，门罗币仍固执地将隐私作为默认。FCMP++ 升级将匿名集从 16 提升至 1.5 亿，并具备前向保密性，即使面对量子威胁也能守护历史隐私。
（前情提要：隐私币迎普涨！硅谷投资人Naval Ravikant一句话让Zcash十天飙涨200%）
（背景补充：隐私币 $ZEC 一个多月飙涨 6 倍，是推动这场狂欢的原因？）

本文目录

Toggle

• BTC 天空的两朵乌云
  • 安全预算问题
  • 量子计算的威胁
  • XMR 面对量子威胁：比 BTC 更严峻的挑战
• FCMP++ 深度解析：门罗币的密码学大跃进
  • 不是把环再加大，而是把整个隐私架构换掉
  • 分离 Membership Proof 与 Spend Authorization
  • Forward Secrecy：量子计算机能偷钱，但偷不走隐私
  • Outgoing View Key：让“看得到花费”却“花不了钱”成为可能
  • Transaction Chaining：开启 XMR 上的闪电网络
  • 地址不变，无缝升级
• FCMP++ 的学术源流：致敬 Firo
• 结语：未竟的革命，永恒的密码朋克

不知道为何，我每隔几年就会重新研究一次门罗币，然后再次深深爱上它。

也许是因为，当整个加密货币世界愈发习惯与监管共舞、与华尔街握手、与各种机构合规叙事彼此喂养时，门罗币仍然固执地守护着一件非常古老、却也因此格外珍贵的事情：**把隐私当成预设，而不是选配。**也可以说，是因为门罗币继承了加密货币最纯正的密码朋克精神——隐私科技与草根社区。

对于密码朋克而言，真正的考验是主权国家级的打压。XMR 已经在 2024 年被币安、OKX 等主流交易所陆续下架，也在各国受到封杀，却仍然经受住了考验——交易量持续上升（可见 TRM Labs 报告）。与利维坦对抗而非合作，这才是密码朋克的心。ETF 和数字资产监管框架难道值得欢呼？那是投降，不是革命。你们想要的，究竟是方便被金融体系收编的透明资产，还是真正属于人民的数字现金？

中本聪所描绘的是“点对点的数字现金”（peer-to-peer electronic cash），在我看来，BTC 是一场未竟的革命。毕竟密码朋克宣言开宗明义：

“隐私，是电子时代开放社会不可或缺之物。”

Hal Finney 早在 1993 年就撰写了 Protecting Privacy with Electronic Cash，探讨如何用密码学在数字世界中重建现金的匿名性。现金必须是匿名的——这也是门罗币的核心。强制隐藏收方、发方和金额，绝不妥协。

我在 2020 年写过一篇关于门罗币的读书心得，也在 2021 年写过 BTC 的抗审查性问题。这几年过去，我反而更确信当时那个直觉没有错：隐私不是区块链的一个 feature，而是数字现金能否成立的根本前提。

BTC 天空的两朵乌云

除隐私外，BTC 长远的未来在我眼中一直有两朵乌云：四年减半导致的安全预算刚性下降，以及量子计算对公钥暴露地址的威胁。

安全预算问题

比特币的区块补贴会持续减半，这是它最著名的货币政策设计；但这也意味着，协议层对矿工的新增发奖会机械式下降，系统终究会愈来愈依赖币价或手续费的指数上升来维持安全性。或许对信仰者来说这无足轻重，但那是一个愿望，不是一个计划。尤其是 BTC 社群对 OP_RETURN 等非货币应用的摇摆态度，以及链上生态系统建设的持续失败，让我认为安全预算问题从自己 2017 年看到现在都是无解。

门罗币对这件事的务实解决方案是尾端发行（tail emission）：2022 年 6 月起，固定每两分钟产出 0.6 XMR，永不停止。运作至今已近四年，算力稳定上升，并且持续通过 RandomX 算法抗击 ASIC 矿机，让挖矿的去中心化在每台普通 CPU 上都能有所贡献。

BTC 和门罗币的总发行量将在大约 2040 年前后 交叉——到时让我们看看再经历数次减半的 BTC 是否能想出办法解决安全预算的问题。千言万语知虚实，留与苍生作证盟。

我一直认为 BTC 三大核心设计的巧妙程度是 UTXO >~ PoW >> 2100 万，结果令人无语的是，硬顶发行量这个最粗糙的设计反而成为了技术宗教的核心信仰……最不值得神学化的那个数字，反而成了最不可触碰的教义。

量子计算的威胁

BTC 终究要面对早期 P2PK（Pay-to-Public-Key）地址那上百万 BTC 的治理问题（包括中本聪地址）。这件事很多人不愿意正视，但它不会因为大家装作没看见就消失。即使能引入新的地址格式，总得在某个时刻做出选择：冻结包含中本聪在内的早期地址，或是先到先得让人把币转走。这相当于原本无法打捞的沉船宝藏，在潜水艇发明的前夕得要定义好产权归属——一个没有好答案的治理难题。

门罗币面对量子威胁：比 BTC 更严峻的挑战

对门罗币而言，量子计算的挑战比 BTC 更加严峻。**隐私链不仅要担心量子计算机可以把钱转走，更需要担心的是历史交易记录会被解密。**是的，目前门罗币的环形签名（ring signature）在足够强大的量子计算机面前理论上是可以被破解的——攻击者能够回溯判断环形签名中哪个才是真正的签发者，从而重建整个链的交易图谱。如果一条隐私链的历史资料能在十年、二十年后被重新剥开，那它今天提供的就不是真正的隐私，而只是暂时雾化。

而门罗币社区当然没有坐以待毙。预计 2026 年推出的 FCMP++（Full-Chain Membership Proofs++）将会是门罗币史上最大规模的密码学升级，目标是从根本上加强隐私、并让交易隐私无惧于量子计算的威胁。（目前已上线 Alpha 测试网阶段）

FCMP++ 深度解析：门罗币的密码学大跃进

不是把环再加大，而是把整个隐私架构换掉

先回顾现状：目前门罗币的每笔交易使用 ring size 为 16 的环形签名——也就是你的真实输出和链上随机抽取的 15 笔诱饵（decoy）混合在一起，让旁观者无法判断哪个才是真正的支出者。这提供了 1/16 的匿名性，虽然实际上已经很强，但随着链上分析工具的进步和 spam 交易等手段，固定大小的匿名集在长期是有可能被削弱的。

FCMP++ 的核心革命，是用全链成员证明取代环形签名。 升级之后，每笔交易不再只跟 15 笔诱饵混合，而是与链上所有尚未花费的输出（UTXO）混合。以 2026 年初的估算数据，这意味着匿名集从 16 躍升到超过 1.5 亿——大约一千万倍的提升。

这怎么做到的？FCMP++ 使用曲线树（curve trees）——一种基于椭圆曲线密码学的结构，类似 Merkle Tree 但专为零知识证明设计。它利用椭圆曲线的循环（cycles of elliptic curves）来生成紧凑的证明，使得即使匿名集覆盖全链，证明大小也只是对数增长（约 2-3 KB），验证时间在毫秒级别。

分离 Membership Proof 与 Spend Authorization

更本质地说，FCMP++ 将原本环形签名承担的两个功能拆分成独立的密码学组件：

第一层：成员证明（Membership Proof）—— 证明“这笔要花的钱确实存在于链上且尚未被花费”。这就是全链证明的部分，匿名集覆盖所有 UTXO。

第二层：支出授权（Spend Authorization）—— 证明“我有权花这笔钱”。使用不同的密钥 X, Y 组合来完成。

重点强调在 FCMP++ 的框架下，可以理解为私钥被拆分成两个独立的部分 X, Y。防止双花的链接标签（linking tag）只与其中私钥 X 相关，而支出授权则需要两个私钥的组合。这种分离带来了几个极为有趣的特性：

Forward Secrecy：量子计算机能偷钱，但偷不走隐私

这是 FCMP++ 最精彩的密码学特性之一。假设未来某天量子计算机能够破解椭圆曲线离散对数问题（ECDLP），攻击者或许能伪造合法的支出证明，把尚未花费的门罗币偷走——但仍然无法得知历史上的交易到底是由谁发起、流向何方。因为成员证明的结构设计使得即使破解了底层数学难题，也无法回溯重建哪个输出对应哪个真实支出者。

换句话说：FCMP++ 升级后的交易记录具有前向保密性。2026 年做的交易，即使到了 2040 年量子计算机成熟，那些历史隐私仍然是安全的。（当然，尚未花费的余额仍有被量子计算机盗取的风险，这需要未来再一次升级到后量子密码学 PQC 来解决——但至少隐私不会崩塌。）

Outgoing View Key：让“看得到花费”却“花不了钱”成为可能

因为链接标签只和私钥 X 相关，FCMP++ 允许你公开这把私钥让第三方只能追踪你的资金流向，但无法代为花钱（因为没有另一把私钥 Y）。这为审计、合规和慈善透明等场景提供了灵活的选择性透明机制——你可以主动向审计方证明资金流向，同时保有完整的支出控制权。这会让 cold wallet、multisig、以及整体钱包用户体验都更高效，因为你不需要那么频繁地把真正敏感的支出私钥上线。官方甚至提到，这会让未来定义单一“view key”变得更自然，不再硬切入站/出。

Transaction Chaining：开启 XMR 上的闪电网络

也因为成员证明（Membership Proof）可以独立于支出授权先行上链，一个革命性的可能被开启：两个用户可以先用 2-of-2 多签将成员证明上链，然后在链下进行来回交易，最终才将支出授权广播上链结算。这就是 transaction chaining——它开启了在门罗币上跑支付通道（类似闪电网络）的可能。过去门罗币因为隐私架构的限制，在 Layer 2 扩展上远远落后于 BTC 的闪电网络。FCMP++ 改变了这个格局。它代表门罗币不再只是“链上做隐私”，而开始有空间把隐私延伸到更细腻的交互式支付设计。

地址不变，无缝升级

值得强调的是，FCMP++ 在用户体验上做到了惊人的向后兼容：现有的门罗地址永久有效，用户不需要生成新钱包或转移资金。旧地址照常收款，新的隐私保护在协议层自动生效。在协议层先把最重要的 full sender privacy 做出来之外，门罗币是让钱包按照自己的节奏吸收 outgoing view keys、forward secrecy 等特性，无须一步到位所有新功能。

FCMP++ 的学术源流：致敬 Firo

最后值得一提的是，FCMP++ 的密码学灵感有一条清晰的学术脉络。门罗的下一代交易协议 Seraphis（FCMP++ 的基础框架）与隐私币 Firo（前身为 Zcoin）的 Lelantus Spark 协议有深刻的渊源。而 FCMP++ 比 Spark 走得更远——它使用了曲线树让匿名集扩展到全链级别，这是 Spark 原本受限于约 65,000 的匿名集所做不到的。

FCMP++ 的实现已经经过 Veridise 的独立安全审计（2025 年），截至 2026 年初，alpha stressnet v1.5 已经发布并在公开测试网中接受社区压力测试。这是门罗币十二年来最大胆的密码学手术——在一条活跃的、市值数十亿美元的区块链上，替换运行超过十年的核心隐私机制。

结语：未竟的革命，永恒的密码朋克

密码朋克宣言开宗明义就讲得很清楚：隐私，是电子时代开放社会不可或缺之物。

中本聪发明了无中央发行者的稀缺资产，这当然伟大；但如果我们真的把“数字现金”这四个字当回事，那么只拥有透明转账能力、却没有预设隐私的系统，终究还是未竟的革命。BTC 或许会成为新时代的黄金——抗通胀、受监管、机构持有。但我始终相信，加密货币应有的自由使命不该就此终结。

门罗币正在走一条更艰难、也更忠于密码朋克初心的路。FCMP++ 不只是一次技术升级，它是密码朋克精神在密码学前沿的最新实践，门罗币用数学密码学对抗监控，用草根社区对抗利维坦，用尾端发行对抗安全预算的不确定性，用前向保密对抗尚未到来的量子威胁。

如果这次升级成功，门罗币将不仅稳坐隐私之王的宝座，而是将其推向一个此前仅存在于理论中的高度——一个即使是国家级对手也在统计学上无法去匿名化的匿名集。

这才是密码朋克的应许之地。