Monero против Zcash 2026: что действительно анонимнее
Monero против Zcash 2026: что действительно анонимнее
В апреле 2026 года блокчейн-аналитическая фирма Elliptic опубликовала отчёт с громким заявлением: компания якобы способна «отследить 99% транзакций Zcash». Заголовок неделями обсуждался на форумах по приватным криптовалютам — от англоязычного Monero Outreach до русскоязычного «Битфорума». Цифра, разумеется, вводила в заблуждение (большая часть активности Zcash проходит через прозрачные адреса, и их «отслеживание» — это банальный просмотр блокчейна), однако вопрос она поставила ребром: из двух ведущих приватных монет какая на самом деле даёт анонимность, когда перестаёшь читать whitepapers и начинаешь смотреть на цепочку? В MoneroSwapper мы получаем этот вопрос каждую неделю от пользователей, которые решают, куда переводить свою финансовую приватность, поэтому мы взяли цифры и посчитали сами — сравнили дизайн протоколов, поведение по умолчанию, реальное использование экранированных пулов и тот размер анонимного множества, который пользователи действительно получают при отправке. Ответ оказался однозначнее, чем уверяет маркетинг обеих сторон.
В статье мы пройдёмся по стекам приватности обеих монет бок о бок: кольцевые подписи, скрытые адреса, RingCT и Bulletproofs+ со стороны Monero; zk-SNARK, Halo 2 и экранированный пул Orchard со стороны Zcash. Затем посмотрим на метрику, которая в итоге и решает вопрос анонимности — на то, сколько людей прячется в толпе вместе с вами, — и объясним, почему меньшая по капитализации монета с обязательной приватностью на порядки опережает большую монету с приватностью опциональной.
Две философии приватности: обязательная против опциональной
Единственное по-настоящему важное различие между Monero и Zcash не имеет отношения к криптографии. Это продуктовое решение, принятое девять лет назад и с тех пор ни разу не пересмотренное: Monero скрывает каждую транзакцию по умолчанию; Zcash делает скрытие необязательным. Все остальные технические детали — следствие именно этого выбора.
У Monero нет прозрачного реестра вообще. С момента активации обновления RingCT в январе 2017 года каждый перевод представляет собой конфиденциальную транзакцию, в которой сумма, отправитель и получатель скрыты на уровне протокола. Нет переключателя «хочу быть приватным», потому что другого режима просто не существует. Если вы получаете XMR — входной выход спрятан в кольцевой подписи; если вы тратите XMR — выходной выход уходит на скрытый адрес; если вы запрашиваете баланс — сумма передаётся по сети в зашифрованном виде. Пользователь не принимает решений о приватности, потому что за него их уже принял протокол.
Zcash, напротив, выпускается с двумя сосуществующими типами адресов. Прозрачные адреса (t-адреса) ведут себя ровно как Bitcoin: суммы, отправители и получатели видны всякому, у кого есть блок-эксплорер. Экранированные адреса (z-адреса) используют доказательства с нулевым разглашением, чтобы скрыть все три параметра. Обновление Sapling 2018 года сделало экранированные транзакции достаточно быстрыми для ежедневного использования, а обновление NU5 в мае 2022-го ввело пул Orchard с системой доказательств Halo 2. Но ни одно из них не изменило поведение по умолчанию: большинство кошельков, большинство бирж и большинство пользователей по-прежнему работают на прозрачной стороне.
- Поведение по умолчанию важнее максимальных возможностей: кошелёк, который может быть приватным, но обычно таковым не является, утекает теми же метаданными, что и кошелёк, который приватным быть не умеет в принципе.
- Биржи формируют цепочку: Coinbase, Binance, Gemini и Kraken исторически поддерживали Zcash только в прозрачном виде. Даже если вы работаете в экранированном пуле, входить и выходить приходится через прозрачные рельсы — и именно их видит аналитик.
- Селективное раскрытие — это фича, а не замена: view-ключи Zcash позволяют аудиторам инспектировать конкретные транзакции, что полезно для регулируемых организаций, но не увеличивают размер анонимного множества — а именно оно защищает всех остальных.
Как Monero скрывает вас: стек приватности XMR
Приватность Monero — это произведение трёх независимых механизмов, работающих вместе. По меркам 2026 года ни один из них не является криптографической новинкой, но их сочетание устояло против тринадцати лет академических атак и попыток деанонимизации со стороны правоохранительных органов разных юрисдикций — от Европола до американского IRS-CI.
Скрытые адреса
Когда вы публикуете адрес Monero, вы публикуете пару открытых ключей — публичную часть «view-ключа» (для просмотра) и публичную часть «spend-ключа» (для траты). Когда кто-то хочет отправить вам XMR, его кошелёк использует вашу публичную view-часть плюс случайный скаляр, чтобы вычислить свежий одноразовый выходной адрес в блокчейне. Никто, кроме вас, не сможет понять, что этот выход принадлежит именно вашему адресу, потому что связь требует приватной view-половины. Итог: каждый платёж, который вы получаете, приземляется на уникальный on-chain адрес, и наблюдатель за блокчейном не может их кластеризовать.
Кольцевые подписи и RingCT
Когда вы тратите XMR, ваш кошелёк выбирает 15 ложных выходов из существующего UTXO-множества цепочки и конструирует кольцевую подпись, доказывающую: «один из этих 16 выходов сейчас тратится, но я не скажу какой». С обновлением CLSAG в 2020 году доказательство стало примерно на 25% меньше оригинальной конструкции MLSAG. RingCT расширяет это, скрывая суммы с помощью обязательств Педерсена, так что кольцевая подпись теперь обскурирует и кто тратит, и сколько. Текущий размер кольца — 16 — стабилен со времён августовского хардфорка 2022 года.
Bulletproofs+ и Dandelion++
Bulletproofs+ — это диапазонные доказательства с нулевым разглашением, подтверждающие, что скрытая сумма положительна, не раскрывая её. Они заменили оригинальные Bulletproofs в 2022 году и уменьшили размер транзакции ещё на 5–7%, что напрямую снижает комиссии и удешевляет приватность. Dandelion++ решает задачу сетевого уровня: вместо того чтобы немедленно транслировать вашу транзакцию каждому соседу, ваш узел сначала проводит её через рандомизированный «стебель» из нескольких узлов, и только потом она «расцветает» в мемпуле. Это срывает атаки корреляции по IP-адресам, которые многократно деанонимизировали пользователей Bitcoin — в том числе в нашумевших делах, разбиравшихся в США и Германии.
Заглядывая вперёд: предложение FCMP++ — на момент середины 2026 года находящееся в тестнете — заменяет кольцевые подписи доказательствами принадлежности ко всей цепочке. Вместо того чтобы прятаться среди 16 ложных выходов, каждая транзакция будет прятаться среди всего множества тратимых выходов (десятки миллионов). Если активация состоится по плану, в хардфорке четвёртого квартала 2026 года анонимное множество Monero за один релиз вырастет с «16» до «вся цепочка».
Как Zcash скрывает вас: стек приватности ZEC
Приватность Zcash — когда её действительно задействуют — математически сильнее, чем у Monero, в расчёте на одну транзакцию. Подвох в формулировке «когда задействуют». Криптография держится на zero-knowledge succinct non-interactive arguments of knowledge — zk-SNARK, — которые позволяют доказывающему убедить проверяющего в истинности утверждения, не раскрывая никакой информации, выходящей за пределы этого факта.
Три пула
За время существования Zcash в нём накопилось три типа адресов. Прозрачные (t-) адреса работают по схеме Bitcoin и раскрывают всё. Sapling-адреса (zs-), введённые в 2018 году, используют систему доказательств Groth16 и церемонию доверенной установки. Orchard-адреса (u-), введённые с NU5 в мае 2022 года, используют систему Halo 2, которая полностью исключает доверенную установку — серьёзное обновление для пользователей, которые никогда не доверяли исходной церемонии 2016 года. На 2026 год сообщество Zcash активно стимулирует миграцию из Sapling в Orchard, чтобы консолидировать экранированное множество в одном пуле.
zk-SNARK и Halo 2
Когда вы отправляете экранированную транзакцию Zcash, ваш кошелёк строит SNARK, доказывающий: «я владею валидной нотой, нота ещё не была потрачена, суммы балансируются, новые обязательства корректно сформированы» — всё это без раскрытия того, какой именно нотой, кто ею владеет и каковы суммы. Проверяющие убеждаются в корректности доказательства за миллисекунды. Halo 2 добавила рекурсивную композицию — именно она открывает дорогу к будущим масштабирующим решениям, включая экспериментальные «экранированные роллапы» Zcash.
Проблема прозрачного дефолта
Всё это не имеет значения, если экранированные транзакции — редкость. Публичные данные из квартальных отчётов прозрачности ZecHub показывают, что на конец первого квартала 2026 года примерно 30% оборотного предложения ZEC находится в экранированных пулах (Sapling + Orchard вместе) — исторический максимум, но всё ещё меньшинство. Что важнее, транзакции типа transparent→shielded и shielded→transparent раскрывают точную сумму ZEC, входящую в пул или выходящую из него, — и аналитические фирмы используют это, чтобы ограничивать граф транзакций даже тогда, когда содержимое самого пула остаётся приватным.
Самая сильная криптография в мире не починит дефолт, который никто не меняет. Экранированные пулы Zcash — превосходны. Прозрачные пулы, рядом с которыми они существуют, — вот в чём проблема.
Лоб в лоб: сравнение, которое имеет значение
Криптографическая стойкость — лишь один вход в формулу анонимности. Метрика, которая реально вас защищает, — это размер толпы, в которой вы прячетесь, то есть анонимное множество. В таблице ниже собраны переменные, которые имеют значение, с цифрами 2026 года там, где они доступны.
| Параметр | Monero (XMR) | Zcash (ZEC) |
|---|---|---|
| Приватность по умолчанию | Обязательная, всегда включена | Опциональная, экранирование по запросу |
| Анонимность отправителя | Кольцевая подпись (16 ложных, FCMP++ на подходе: вся цепочка) | zk-SNARK (математически идеальна внутри пула) |
| Анонимность получателя | Скрытый адрес (каждый платёж — свежий on-chain выход) | Экранированная нота (только внутри Orchard или Sapling) |
| Приватность сумм | RingCT (обязательства Педерсена + Bulletproofs+) | Шифрование SNARK (только в пуле); открытый текст на t→z, z→t |
| Сетевая приватность | Dandelion++ включён по умолчанию; поддерживается вещание через Tor/I2P | Нет Dandelion на уровне протокола; зависит от выбора клиента |
| Доверенная установка | Не требуется | Не нужна для Orchard (Halo 2); Sapling унаследовал церемонию 2018 |
| Реальное анонимное множество 2026 | Всё движущееся UTXO-множество (миллионы) | ~30% предложения экранировано; доминирует активность t-адресов |
| Биржевые листинги | Делистинг с Binance, Kraken EU, Coinbase | Листинг на большинстве крупных бирж (на части — только прозрачный) |
| Алгоритм майнинга | RandomX (дружественный к CPU, устойчив к ASIC) | Equihash (с 2018 года доминируют ASIC) |
| Политика эмиссии | Хвостовая эмиссия: 0,6 XMR/блок навсегда | Фиксированный кэп 21 млн; «налог в фонд разработки» закончился в 2024 |
Строка про Zcash с подписью «математически идеальна внутри пула» — это честная криптография, а не маркетинг. Если вы остаётесь внутри пула Orchard от приобретения до траты, ваша транзакция в расчёте на одну транзакцию будет приватнее любой Monero-транзакции. Проблема в том, что почти никто так не делает. Вы покупаете ZEC на бирже (прозрачно), экранируете его (t→z раскрывает сумму), кратко проводите операции внутри пула, а затем выводите средства, чтобы потратить где-то ещё (z→t раскрывает сумму). Два конца этого пути утекают достаточно, чтобы существенно сузить вашу практическую анонимность.
Анонимные множества в 2026: что реально показывает цепочка
Криптографов волнуют худшие случаи противника. Пользователей должны волновать типичные противники — аналитические фирмы, продающие отчёты биржам и силовикам. И Monero, и Zcash подвергались публичным попыткам деанонимизации. Вот что сработало, что нет и как сегодня выглядит живая цепочка.
Monero на практике
Самая цитируемая атака на Monero — статья 2017 года «Empirical Analysis of Traceability», эксплуатировавшая тот факт, что ранние транзакции Monero часто использовали очень малые размеры колец (нередко у пользователя просто не было других входов для перемешивания). После мандата RingCT в 2017-м и последующих обновлений размера кольца — 7 в 2018-м, 11 в 2019-м, 16 в 2022-м — исходная атака перестала работать. Последующие атаки сосредоточились на таймингах (когда реальный вход с наибольшей вероятностью является самым свежим?) и приводили к вероятностным догадкам, но никогда — к детерминированной идентификации. Признание Chainalysis в 2024 году, что они «не могут надёжно отследить Monero», остаётся актуальным и в середине 2026 года, а запланированный на четвёртый квартал апгрейд FCMP++ только увеличит разрыв, расширив анонимное множество до всей цепочки.
Zcash на практике
Внутри пула Orchard ни одна публичная атака не сломала конструкцию SNARK; математика устояла. Деанонимизация, которая действительно работает, нацелена на границу пула. Статья 2020 года «An Empirical Analysis of Anonymity in Zcash» Джорджа Каппоса и соавторов кластеризовала экранированные транзакции по сумме экранирования, таймингу и небольшому числу пользователей, взаимодействовавших с (тогда обязательными) адресами фонда разработки. Техника работает, потому что суммы экранирования обычно круглые (1 ZEC, 10 ZEC), а паттерны времени утекают, когда экранированным пулом за час пользуются всего несколько человек. На 2026 год атаки этого класса заметно сложнее, чем были в 2020-м, — объём Orchard вырос, — но против цели, которая входит в пул лишь время от времени, они всё ещё реализуемы.
Тест «размера толпы»
Если вы прямо сейчас отправите приватный платёж, сколько других пользователей с точки зрения аналитика могли бы правдоподобно оказаться отправителем? В Monero ответ — минимум 16 (размер кольца) для любой одной транзакции, помноженный на каждый хоп в любом кластерном анализе, — и поднимется до «всех тратимых выходов», если активируется FCMP++. В Zcash ответ зависит от того, сколько других людей экранировали похожую сумму в том же временном окне. Для маленькой транзакции в Orchard в час пик в 2026 году эта толпа реальна и защищает. Для экранирования 50 ZEC во вторник в 03:00 UTC толпа может состоять из одного человека — вас.
Покупка, хранение и операции в 2026 году
Приведённый выше анализ приватности описывает только то, что происходит, когда монеты уже на цепочке. Анонимность большинства пользователей на самом деле компрометируется раньше — на этапе приобретения. Монета, купленная на ваше реальное имя и привязанный к паспорту банковский счёт, не является анонимной независимо от того, какой протокол приватности она использует. Это особенно актуально для российских пользователей: с учётом ужесточения правил ЦБ РФ в отношении криптовалют и обязательной идентификации на крупных площадках, KYC-этап нередко становится самым уязвимым звеном цепочки.
- Покупайте без раскрытия личности. KYC-free swap-сервисы вроде MoneroSwapper принимают BTC, LTC, ETH, USDT и ещё 200+ монет и доставляют XMR или ZEC прямо на ваш кошелёк. Без аккаунта, без email, без загрузки документов. Это рвёт связку «цепочка ↔ личность» до того, как она вообще успевает сформироваться.
- Используйте кошелёк, которым владеете вы, а не биржу. Кастодиальное хранение приватным быть не может — кастодиан знает всё. Для Monero — официальные GUI/CLI или Feather Wallet. Для Zcash — Zashi или Ywallet, текущие варианты с экранированием по умолчанию.
- Для Zcash по умолчанию используйте Orchard. Избегайте прозрачных адресов везде, кроме случаев, когда принимающая биржа на них настаивает. Новые кошельки по умолчанию используют Orchard; старые могут по умолчанию переходить в Sapling или даже в transparent — проверяйте перед отправкой.
- Маршрутизируйте через Tor или I2P. Полные узлы и Monero, и Zcash поддерживают сети анонимности. Без этого слоя ваш IP связывает вас с вашими транзакциями, даже если сама цепочка этого не делает. Российским пользователям дополнительно стоит помнить, что Tor доступен через мосты и obfs4, даже когда прямой доступ затруднён.
- Избегайте круглых сумм и предсказуемых интервалов. Обе сети утекают меньше, когда паттерны использования нерегулярны. Если вам обязательно нужно экранировать ровно 100 ZEC каждую пятницу в 9 утра — вы добровольно сузили свою толпу до «людей, которые делают именно это».
Часто задаваемые вопросы
Monero реально неотслеживаем в 2026 году?
«Неотслеживаем» — слишком сильное слово: ни одна криптовалюта не является безусловно неотслеживаемой, и операционные ошибки (повторное использование адресов, утечка IP, KYC-вход и выход) ломают приватность на любой цепочке. Корректнее сказать: ни одна публичная техника не способна детерминированно отследить транзакцию Monero, чей пользователь соблюдал разумную операционную безопасность. Chainalysis, CipherTrace и Elliptic публично признали устойчивость Monero к стандартным методам трассировки, а ожидаемый в Q4 2026 апгрейд FCMP++ только увеличит этот разрыв.
Если математика Zcash сильнее, почему более приватным считается Monero?
Потому что приватность — это функция и криптографической гарантии, и размера толпы, которая ею пользуется. zk-SNARK у Zcash математически идеален внутри экранированного пула, но большая часть ZEC лежит на прозрачных адресах, большинство пользователей работает прозрачно, и большинство бирж до сих пор поддерживают только t-адреса. Кольцевые подписи Monero в теории слабее на одну транзакцию, но применяются к 100% транзакций на практике. Анонимность — это явление толпы, а толпа Monero — это вся пользовательская база по умолчанию.
Могут ли государства запретить приватные монеты?
Некоторые юрисдикции уже их ограничивают. Япония делистнула приватные монеты с регулируемых бирж в 2018 году. Южная Корея последовала её примеру в 2021-м. Европейская MiCA с 2024 года ограничивает «криптовалюты с усиленной анонимностью» на биржах. В России ЦБ традиционно занимает жёсткую позицию по отношению к приватным криптовалютам, а внесение операций с ними в перечень подозрительных давно стало стандартной практикой банковского мониторинга. Ни один из этих запретов не влияет на сам протокол — узлы Monero и Zcash продолжают работать независимо от листингов на биржах, — но они увеличивают трение для пользователей, приобретающих приватные монеты через регулируемые площадки, поэтому KYC-free swap-сервисы становятся всё важнее.
Компрометирует ли использование MoneroSwapper мою приватность?
MoneroSwapper не требует аккаунтов, email-адресов или KYC-документов и не хранит логи транзакций сверх того, что операционно необходимо для завершения свопа. On-chain выход доставляется на кошелёк, которым управляете вы. Для максимальной приватности комбинируйте своп с использованием Tor-браузера и свежесгенерированным принимающим адресом, а входные монеты берите из источника без KYC — например, с децентрализованной биржи или peer-to-peer.
Что выбрать для долгосрочной приватности — Monero или Zcash?
Для повседневных приватных платежей и хранения ценности, где важна взаимозаменяемость, обязательная приватность Monero даёт более однородную гарантию. Для пользователей, которым специально нужны возможности селективного раскрытия — например, для бизнеса, которому периодически нужно доказывать соответствие нормам, — система view-ключей Zcash является настоящей и уникальной фичей. Многие приватность-ориентированные пользователи держат обе монеты для разных задач, рассматривая Monero как дефолт, а Zcash — как специализированный инструмент.
А что насчёт других приватных монет — Dash или Pirate Chain?
PrivateSend у Dash — это микшер на основе CoinJoin, а не приватность на уровне протокола, и в целом он считается более слабым, чем Monero или Zcash. Pirate Chain (ARRR) использует протокол Sapling от Zcash, но с обязательными экранированными транзакциями — более сильный дефолт, чем у самого Zcash, — однако его малая база пользователей означает меньшее анонимное множество в абсолютных числах. Beam и Grin используют Mimblewimble, что даёт интересные свойства, но без длинного послужного списка Monero или Zcash. Для большинства пользователей в 2026 году содержательным остаётся именно сравнение XMR и ZEC.
Заключение
Принцип «размера толпы» — это и есть ответ, который заголовки упускают. Криптография Zcash, взятая в изоляции, представляет собой более изящную конструкцию; zk-SNARK — это по-настоящему красивая математика. Но анонимность не является свойством одной только криптографии — это свойство того, как много людей разделяют вашу криптографическую гарантию. Решение Monero сделать приватность обязательной превращает каждого пользователя в часть анонимного множества каждого другого пользователя. Решение Zcash сделать приватность опциональной означает, что большинство держателей ZEC защищают друг друга только тогда, когда активно принимают такое решение. В дикой природе, в 2026 году, этот разрыв отчётливо виден прямо в блокчейне.
Если вы пришли к выводу, что обязательная приватность — это та модель, которая нужна именно вам, MoneroSwapper существует для того, чтобы вы могли приобрести XMR — или ZEC, если предпочитаете модель селективного раскрытия, — без KYC-этапа, который компрометирует всё дальнейшее. Выберите монету, чья модель угроз совпадает с вашей, держите её в кошельке, которым владеете вы, маршрутизируйте через Tor и избегайте операционных ошибок, которые всегда были самым простым способом сломать приватность, — независимо от того, какая криптография лежит в основе.