Was sind Decoys bei Monero?

Decoys sind „Lockvogel“-Outputs in Ring-Signaturen. Wenn du XMR sendest, wird dein echter Output zusammen mit 15 zufällig ausgewählten Decoys (fremde Outputs) in einer Ring-Signatur gemischt. Niemand kann unterscheiden, welcher der 16 echt ist.

Wie wählt Monero die Decoys aus?

Monero nutzt eine Gamma-Verteilung, die jüngere Outputs bevorzugt. ~50% der Decoys kommen aus den letzten 1,2 Tagen, ~25% aus den letzten 5 Tagen. Das spiegelt reales Ausgabeverhalten wider — frische Outputs werden häufiger ausgegeben.

Warum nicht einfach zufällig auswählen?

Gleichmäßig zufällige Auswahl wäre leicht angreifbar: Echte Outputs werden typischerweise schnell nach Empfang ausgegeben. Wenn die Decoys gleichmäßig verteilt wären, könnte ein Beobachter den jüngsten Output als wahrscheinlich echt identifizieren.

Kann Decoy Selection angegriffen werden?

Theoretisch ja (Timing-Analyse, Flooding-Angriffe, Chain-Analyse-Heuristiken). Praktisch reduzieren diese Angriffe die Anonymität nur marginal. FCMP++ wird Ring-Signaturen (und damit Decoys) komplett ersetzen — dann sind alle Outputs der gesamten Blockchain potentielle Decoys.

Was ändert FCMP++ an der Decoy Selection?

FCMP++ (Full-Chain Membership Proofs) eliminiert Decoy Selection komplett. Statt 16 Outputs wird die gesamte Blockchain (~100M Outputs) als Anonymity Set verwendet. Keine Decoy-Auswahl mehr nötig, da der Beweis gegen alle Outputs gleichzeitig funktioniert.

Monero Decoy Selection erklärt (2026)

Wie Ring-Signatur Decoys ausgewählt werden — Gamma-Verteilung, Timing, FCMP++

TL;DR: Bei jeder Transaktion wählt Monero 15 Decoys (Lockvogel-Outputs) und mischt sie mit deinem echten Output in einer Ring-Signatur. Die Auswahl folgt einer Gamma-Verteilung: Jüngere Outputs werden bevorzugt, weil reale Ausgaben typischerweise schnell erfolgen. FCMP++ wird dies ersetzen.

Die Gamma-Verteilung

Moneros Decoy Selection nutzt seit 2019 eine modifizierte Gamma-Verteilung mit diesen Parametern: shape = 19.28, rate = 1.61. Das Ergebnis:

Alter des Outputs	Anteil der Decoys
Letzte 1,2 Tage	~50%
Letzte 5 Tage	~75%
Letzte 30 Tage	~95%
Älter als 30 Tage	~5%

Dies spiegelt reales Verhalten wider: Die meisten XMR werden innerhalb weniger Tage nach Empfang ausgegeben. Wenn der echte Output jung ist, passen die Decoys dazu.

Warum diese Verteilung?

Problem mit Gleichverteilung: Bei zufälliger Gleichverteilung wären 90% der Decoys alt. Der echte Output (typischerweise jung) würde herausstechen. Ein Angreifer könnte sagen: „Der jüngste Output ist wahrscheinlich echt.“

Lösung: Die Gamma-Verteilung macht es statistisch plausibel, dass JEDER der 16 Outputs der echte ist — weil alle nach dem gleichen Alters-Muster ausgewählt werden.

Bekannte Schwachstellen

Angriff	Beschreibung	Effektivität
Timing-Analyse	Jüngster Output oft echt	~40% Deanonymisierung
Flooding	Viele eigene TX erzeugen, um Decoys zu dominieren	Teuer, begrenzt wirksam
Poisoned Outputs	Churning-Outputs als Decoys markieren	Begrenzt (erfordert On-Chain-Analyse)

Keine dieser Schwachstellen bricht Moneros Privacy vollständig. Aber sie zeigen, warum FCMP++ das nächste große Upgrade ist.

FCMP++ ersetzt Decoy Selection

Mit FCMP++ (geplant für 2026/2027) wird die Decoy Selection komplett eliminiert. Statt 16 Outputs in einem Ring werden alle ~100 Millionen Outputs der gesamten Blockchain zum Anonymity Set. Kein Decoy-Algorithmus mehr nötig — der Beweis funktioniert gegen die gesamte Blockchain gleichzeitig.

Decoy Selection = intelligentes Verstecken

Die Gamma-Verteilung ist ein eleganter Kompromiss: Gut genug für heute, wird durch FCMP++ bald überflüssig. Monero entwickelt sich ständig weiter.

XMR privat handeln? arnoldnakamura — 683 Trades. Telegram