Como Usar Endereços Stealth no Ethereum (EIP-5564)

Em abril de 2026, a atualização do roadmap "Statelessness, Stealth, and Soul-Bound Tokens" assinada por Vitalik Buterin recolocou a EIP-5564 sob os holofotes: aproximadamente 1,4 milhão de endereços Ethereum já aparecem em pelo menos um cluster da Chainalysis, e a distância entre "pseudônimo" e "privado" nunca pareceu tão grande. A EIP-5564 é a resposta do Ethereum para esse abismo — uma forma padronizada de receber ETH, ERC-20 ou ERC-721 em um endereço descartável, derivado na hora, que um observador externo não consegue ligar ao seu nome ENS público nem à sua carteira principal. A ideia foi praticamente copiada do Monero, onde endereços stealth são comportamento padrão desde 2014, mas foi adaptada para encaixar no mundo de contas-EVM do Ethereum. Este guia explica como o padrão funciona, como usá-lo com as ferramentas de carteira disponíveis hoje, como ele se compara à implementação madura do Monero e onde estão as armadilhas óbvias. Se no fim das contas você quiser converter seu ETH privado em XMR para garantias mais fortes, o MoneroSwapper cuida da ponte sem KYC — mas primeiro vamos entender o que os endereços stealth realmente entregam dentro do próprio Ethereum.

Por que o Ethereum precisava de endereços stealth

A história de privacidade padrão do Ethereum sempre foi desconfortável. Toda transação amarra publicamente um remetente, um destinatário e um valor a dois endereços de longa duração, e os nomes ENS deixam esses endereços legíveis no Etherscan com um único clique. Assim que você doa para um endereço público, paga uma gorjeta, recebe um airdrop ou aceita salário em stablecoins, o endereço que recebeu fica eternamente ligado ao seu histórico on-chain. O Tornado Cash preenchia parte dessa lacuna até o OFAC sancionar o contrato em agosto de 2022, e as condenações de dois de seus desenvolvedores em 2024 congelaram a maior parte do uso legítimo por consumidores comuns.

A EIP-5564 ataca o problema por outro ângulo. Em vez de juntar fundos em um conjunto de anonimato compartilhado, ela permite que o remetente derive sozinho um endereço de destino novinho em folha, descartável, do qual apenas o destinatário real consegue gastar — sem coordenação prévia, sem mixer em contrato inteligente e sem nunca compartilhar a chave privada principal do destinatário. As propriedades entregues são:

• Não-rastreabilidade: observadores externos não conseguem dizer que dois pagamentos stealth pertencem ao mesmo destinatário, mesmo que o meta-endereço seja público.
• Não-interatividade: o remetente precisa apenas do meta-endereço publicado — sem handshake prévio, sem chave simétrica compartilhada, sem ponte Tor.
• Acesso só de leitura: uma viewing key permite que serviços externos (uma carteira quente, um servidor watch-only, um app de celular) detectem pagamentos recebidos sem ter poder de gasto.
• Compatibilidade retroativa: o padrão funciona para ETH, ERC-20, ERC-721 e ERC-1155 sem modificar nenhum contrato de token em nenhuma das pontas.

O preço pago é que a EIP-5564 não esconde valores de transação, e não quebra a ligação entre uma saída stealth e o endereço para o qual ela é eventualmente varrida. Isso não é RingCT. Mas para uso cotidiano — pagar um freelancer, receber um NFT drop, aceitar uma doação, fechar um salário — ela reduz drasticamente o que um observador externo consegue correlacionar com sua identidade pública.

Como a EIP-5564 funciona de verdade

A EIP-5564 — escrita por Toni Wahrstätter, Matt Solomon, Ben DiFrancesco e Gary Ghayrat e finalizada como ERC Standards Track em março de 2024 — define dois artefatos: um esquema canônico para derivar endereços stealth a partir do meta-endereço publicado pelo destinatário, e um contrato singleton de "Announcer" que publica chaves públicas efêmeras para que os destinatários encontrem seus pagamentos sem precisar varrer a cadeia inteira.

O meta-endereço: duas chaves, não uma

Todo destinatário EIP-5564 publica um meta-endereço stealth no formato st:eth:0x.... Ele codifica duas chaves públicas secp256k1 comprimidas, concatenadas:

• Chave pública de gasto (P): derivada de uma chave privada de gasto de longa duração que o destinatário mantém offline, idealmente em uma carteira de hardware.
• Chave pública de visualização (V): derivada de uma chave privada de visualização que o destinatário pode entregar a software watch-only sem expor o poder de gasto.

Essa divisão é exatamente a mesma separação entre View key e Spend key que o Monero adotou do CryptoNote em 2014. A chave de gasto assina transferências de saída; a chave de visualização permite que uma carteira detecte pagamentos recebidos sem conseguir movê-los. É essa separação que permite que um Ledger ou Trezor guarde a chave de gasto enquanto uma carteira quente no seu notebook roda o scanner em segundo plano.

Derivando um endereço descartável

Para enviar a um meta-endereço stealth, o remetente executa o seguinte protocolo do lado cliente, sem nenhuma interação on-chain até o passo final:

1. Gera uma chave privada efêmera aleatória r e calcula sua chave pública R = r·G, onde G é o gerador da secp256k1.
2. Calcula um segredo compartilhado S = r·V via ECDH padrão contra a chave pública de visualização do destinatário.
3. Faz o hash do segredo compartilhado: s = keccak256(S).
4. Deriva a chave pública stealth P_stealth = P + s·G.
5. Pega o endereço Ethereum de P_stealth. Esse vira o destinatário descartável.
6. Envia os fundos para esse endereço descartável e chama o contrato Announcer com a chave pública efêmera R, o byte de view-tag e um identificador de esquema.

O destinatário — ou, mais precisamente, um serviço de varredura que detém a viewing key — vê o anúncio, recomputa s = keccak256(v·R) (onde v é a chave privada de visualização), deriva o mesmo P_stealth e encontra os fundos estacionados no endereço Ethereum correspondente. Apenas quem detém a chave privada de gasto consegue assinar uma transação a partir desse endereço: a chave privada de gasto por saída é p_stealth = p_spend + s.

A otimização da view-tag

Ingenuamente, cada destinatário teria que derivar P_stealth para cada anúncio na cadeia — milhões de operações por dia em escala. A EIP-5564 inclui uma view-tag de um único byte em cada anúncio: o primeiro byte de keccak256(S). Os scanners descartam 255 de cada 256 anúncios após uma comparação de um byte, então um destinatário típico processa por completo apenas cerca de 0,4% dos anúncios. Isso coloca o custo de varredura da EIP-5564 na mesma faixa da varredura por view key do Monero depois que o Monero 0.18 adicionou a view-tag opcional em 2022. O truque em si foi originalmente documentado por pesquisadores do Zcash em 2021 e desde então virou padrão em projetos de endereços stealth.

EIP-5564 vs endereços stealth do Monero

Como usuários do Ethereum frequentemente perguntam se a EIP-5564 torna o Monero redundante, vale alinhar as duas implementações lado a lado. Elas compartilham o mesmo núcleo matemático mas divergem profundamente no que o protocolo mais amplo esconde — e em saber se a privacidade é uma funcionalidade opt-in ou uma garantia padrão.

Propriedade	EIP-5564 (Ethereum)	Monero (CryptoNote + RingCT)
Endereço descartável de destino	Sim (por pagamento)	Sim (por saída)
Anonimato do remetente	Não — endereço do remetente é público	Sim — escondido por assinatura em anel CLSAG
Ocultação de valor	Não — visível nos logs de transferência	Sim — commitments de Pedersen + Bulletproofs
Uso padrão	Opt-in por transação	Obrigatório para toda saída
Varredura por view key	Sim (viewing key da EIP-5564)	Sim (View key do Monero)
Privacidade no nível da rede	Nenhuma padronizada	Difusão via Dandelion++
Hard-forks futuros previstos	Nenhum agendado	FCMP++ / Seraphis Jamtis (em andamento)
Tamanho do conjunto de anonimato	Todos os anúncios EIP-5564 (~centenas/dia)	Conjunto UTXO inteiro (pós-FCMP++)

Resumindo: a EIP-5564 esconde quem está sendo pago, enquanto o Monero esconde adicionalmente quem está pagando e quanto está sendo pago. Se sua ameaça é "vigilância on-chain casual" e você já vive no ecossistema Ethereum, a EIP-5564 é uma melhoria significativa em relação ao status quo. Se sua ameaça inclui análise profissional de cadeia com clusterização completa do grafo — ou se você precisa de fungibilidade do lado do recebimento — o Monero permanece estruturalmente mais forte porque toda saída tem aparência idêntica na camada de protocolo.

Passo a passo: receber e gastar pagamentos stealth

Este passo a passo assume que você está usando o Umbra (umbra.cash) ou a carteira Fluidkey, as duas implementações de EIP-5564 com qualidade de produção na mainnet do Ethereum em meados de 2026. O fluxo é essencialmente idêntico em Base, Optimism e Arbitrum, todas com o mesmo Announcer singleton publicado no endereço canônico. Se você só quer testar o protocolo, faça primeiro na Sepolia — gas é gratuito e o mesmo SDK funciona.

1. Gere seu meta-endereço stealth. Conecte uma carteira que detenha sua chave principal de assinatura. Umbra e Fluidkey derivam suas chaves privadas de gasto e visualização de forma determinística a partir de uma assinatura sobre uma mensagem fixa — então você nunca precisa de uma seed mnemônica separada e consegue recuperar o acesso a partir de qualquer dispositivo que tenha sua chave principal.
2. Publique ou compartilhe o meta-endereço. A string de saída parece st:eth:0x03ab...c1de. Você pode registrá-la contra seu nome ENS (o campo de resolver stealth-meta-address está padronizado na ERC-5564 e tem suporte no resolver público da ENS) ou simplesmente compartilhar a string fora de banda, via Signal, e-mail ou uma página de cobrança. Uma vez publicado, qualquer pessoa consegue te pagar sem coordenação extra.
3. Receba um pagamento. O remetente deriva o endereço descartável no cliente e publica um anúncio no contrato Announcer. Sua carteira varre os anúncios novos a cada bloco mais ou menos, filtra pela view-tag e mostra os depósitos compatíveis na interface em cerca de 12 segundos após a confirmação na mainnet (ou em torno de 2 segundos na maioria das L2s).
4. Coloque gas no endereço stealth. Como cada saída stealth fica em um endereço único sem saldo prévio de ETH, gastar exige gas. As carteiras lidam com isso de três formas: uma meta-transação patrocinada via Gelato ou Pimlico, um padrão de "pull" em que o destinatário queima uma fração pequena do valor recebido como gas, ou um relayer empacotado nativamente pela carteira. Faça o que fizer, não fundeie o gas a partir de uma carteira doxxada — isso liga a saída na hora.
5. Gaste ou consolide. Assine o gasto com sua chave de gasto derivada. Se você consolidar várias saídas stealth em um endereço só, você liga todas elas imediatamente, então só consolide quando essa ligação for aceitável. Caso contrário, roteie via Railgun, em um endereço de depósito novo de uma CEX ou — para fungibilidade total — converta para XMR via MoneroSwapper e receba em um Subaddress Monero novinho.

Regra de bolso: uma saída stealth só é tão privada quanto o endereço para o qual você acaba varrendo ela. Trate o destino da varredura como a decisão real de privacidade, não o endereço stealth em si.

Carteiras e ferramentas em 2026

O cenário de implementações da EIP-5564 se consolidou nos dezoito meses desde que o padrão foi finalizado. Em meados de 2026, as opções com qualidade de produção são:

• Umbra Protocol: a implementação de referência. Frontend open-source, publicado na mainnet do Ethereum, Optimism, Arbitrum, Polygon PoS, Base e Gnosis Chain. Suporta ETH, qualquer ERC-20 e ERC-721. Mantida pela ScopeLift e auditada pela Trail of Bits em 2023.
• Fluidkey: uma carteira stealth focada no consumidor, com apps para iOS e Android, arquitetura baseada em contas Safe e patrocínio de meta-transações integrado para que destinatários nunca precisem pré-fundeira um endereço stealth com ETH para gas. Captou uma rodada seed de US$ 1,8 milhão em novembro de 2024 e processou mais de US$ 40 milhões em pagamentos stealth até o fim de 2025.
• Labyrinth: combina endereços stealth EIP-5564 com um mixer de L2 Ethereum para ocultação de valor e remetente. Está mais perto de uma stack de privacidade completa, mas ainda exige confiança parcial no operador da L2 e herda a política de censura dele.
• StealthSwap: um frontend estilo Uniswap que permite trocar ativos para um endereço stealth de forma atômica. Útil para receber o resultado de um trade DEX sem revelar sua carteira de destino para o relayer que executa.
• Daimo Pay (modo Stealth): a opção mais recente, adicionada em fevereiro de 2026. Mirada em pagamentos recorrentes como folha de pagamento e assinaturas, onde geração automatizada de endereços stealth é o ganho real.

Para desenvolvedores, o contrato Announcer canônico está publicado em 0x55649E01B5Df198D18D95b5cc5051630cfD45564 em todas as chains EVM que espelham o espaço de endereçamento do Ethereum — note o sufixo deliberado "5564" coincidindo com o número da EIP, um detalhe pequeno mas útil para auditabilidade. O SDK de referência @scopelift/stealth-address-sdk cuida do parsing de meta-endereço, da geração de chave efêmera, da codificação do anúncio e da filtragem por view-tag no lado do scanner. Integrá-lo em um dApp existente leva mais ou menos uma tarde para um time Solidity experiente.

Limites do modelo de ameaças que você precisa planejar

A EIP-5564 é uma melhoria real, mas algumas categorias de ataque continuam existindo. Nenhuma delas é bug no padrão — são consequências de rodar uma atualização de privacidade em cima de uma camada base transparente, onde o mempool, o bloco e os recibos continuam globalmente visíveis.

• Exposição do remetente: o endereço de envio continua público. Se você manda do seu endereço ENS principal, o destinatário é a única coisa escondida, e um analista de cadeia ainda consegue montar um grafo de "quem pagou para endereços stealth, quando e quanto".
• Correlação de valor: um pagamento stealth de 4,173 ETH imediatamente seguido por uma transferência de 4,173 ETH em outro lugar sugere fortemente uma ligação. Números redondos e valores fora do padrão são especialmente delatores.
• Correlação de tempo: os anúncios stealth são públicos; se você varre e consolida no mesmo minuto, ferramentas de vigilância conseguem reduzir qual anúncio era o seu por simples correlação de janela temporal.
• Metadados do lado da varredura: consolidar em Binance ou em uma exchange brasileira como Mercado Bitcoin ou Foxbit liga a saída stealth a uma identidade KYC no fornecedor de compliance da exchange — que, no caso brasileiro, ainda alimenta a IN 1.888 da Receita Federal. Consolide via Railgun, em um mixer de L2 ou converta para XMR se você precisa de fato quebrar o rastro.
• Vazamento por fundeio de gas: se você fundeia o gas no endereço stealth a partir de uma carteira doxxada, você acabou de rotular a saída para qualquer observador. Sempre use um relayer ou uma varredura autossustentada.
• MEV entre chains: alguns relayers de bridge logam o endereço stealth do lado do indexador. Trate qualquer bridge como uma superfície potencial de desanonimização e prefira rotas de atomic swap quando possível.

Perguntas frequentes

A EIP-5564 deixa minhas transações Ethereum totalmente privadas?

Não. A EIP-5564 esconde o destinatário de um pagamento — especificamente, ela quebra a ligação entre seu endereço publicado (ou nome ENS) e o endereço que de fato recebe os fundos. Ela não esconde o endereço do remetente, o valor transferido nem o horário. Para uma garantia de fungibilidade total, em que valores, remetentes e destinatários estão todos escondidos no protocolo, você ainda precisa de uma chain como o Monero, em que toda transação usa assinaturas em anel e commitments de valor por padrão. Muitos usuários tratam a EIP-5564 como um "primeiro salto" para receber e depois convertem para XMR para guardar e gastar adiante.

Eu preciso compartilhar minhas chaves privadas com um provedor de carteira para usar endereços stealth?

Não, mas você precisa compartilhar sua chave privada de visualização com o software que faz a varredura dos pagamentos recebidos. A viewing key só dá a capacidade de detectar pagamentos, não de movê-los. A chave privada de gasto — aquela que de fato move fundos — pode ficar em uma carteira de hardware ou em cold storage. Essa é a mesma arquitetura usada pelo Monero: uma carteira watch-only em um servidor sempre ligado usando a View key, e uma carteira fria para assinar transações com a Spend key.

Por que a EIP-5564 é às vezes chamada de "proposta stealth do Vitalik"?

Porque Vitalik Buterin publicou o rascunho original em um post de blog chamado "An incomplete guide to stealth addresses" em janeiro de 2023, e foi esse texto que deu início à padronização formal que virou a EIP-5564. A criptografia em si é bem mais antiga — o whitepaper CryptoNote de Nicolas van Saberhagen introduziu endereços descartáveis em 2013, e o Monero entregou isso em 2014. O mérito do post do Vitalik está em popularizar o design dentro do Ethereum e em torná-lo politicamente viável como padrão opt-in, em vez de uma mudança via hard-fork.

Posso usar endereços stealth em Layer 2 como Base ou Arbitrum?

Sim. O contrato Announcer canônico da EIP-5564 está publicado no mesmo endereço em todas as principais L2 EVM, incluindo Base, Optimism, Arbitrum One, Polygon PoS e Gnosis Chain. Umbra e Fluidkey suportam pagamentos stealth entre rollups. As taxas em pagamentos stealth em L2 costumam ficar abaixo de US$ 0,05 em 2026, o que torna o custo de varredura desprezível para usuários finais e elimina um dos maiores pontos de atrito que o padrão tinha na mainnet em 2024.

Como o custo da varredura se compara a rodar uma carteira Monero?

Praticamente igual, graças ao truque compartilhado da view-tag. Um scanner típico da EIP-5564 lê 1 byte de cada anúncio e só faz a derivação completa de curva elíptica para os ~0,4% que passam pelo filtro de view-tag. O Monero adotou o mesmo truque em 2022; os dois ecossistemas pegaram a ideia, de forma independente, de pesquisas anteriores do Zcash. Em hardware comum, um ano de anúncios stealth na mainnet do Ethereum é varrido em poucos segundos, o que é mais rápido do que a sincronização inicial de uma carteira Monero nova.

O que acontece se eu perder minha viewing key mas continuar com a chave de gasto?

Você perde a capacidade de achar facilmente seus pagamentos recebidos, mas não a capacidade de gastá-los uma vez encontrados. Você poderia varrer por força bruta derivando todo endereço stealth possível a partir de todo anúncio usando só sua chave de gasto, o que é extremamente caro mas factível. Na prática, no Umbra e no Fluidkey as duas chaves são derivadas determinísticamente da assinatura da sua carteira principal, então você consegue rederivar a viewing key sempre que reconectar a carteira de origem.

E para quem mora no Brasil, qual é a implicação fiscal de receber em um endereço stealth?

Receber via EIP-5564 não muda a sua obrigação fiscal: a Receita Federal continua exigindo que ganhos com cripto sejam declarados na ficha de Bens e Direitos e que operações acima de R$ 35.000 no mês sejam reportadas pela IN 1.888. O fato de o endereço de destino ser descartável não cria nenhuma isenção — ele apenas dificulta que um terceiro fora da Receita reconstrua seu histórico de recebimentos. Em outras palavras, a EIP-5564 é uma ferramenta de privacidade contra vigilância externa, não um mecanismo de elisão fiscal, e tratar como se fosse coloca você em risco direto de autuação.

Conclusão

A EIP-5564 é o upgrade de privacidade mais pragmático que o Ethereum entregou desde a era Tornado Cash — uma primitiva criptográfica real, não um rótulo de marketing, e que mapeia limpinho na separação entre View key e Spend key que o Monero já provou em escala uma década antes. Para pagamentos, doações, salários e NFT drops, ela remove o sinal de vigilância mais danoso do Ethereum: a identidade persistente do endereço de recebimento. Ela não esconde, porém, remetentes nem valores, e no momento em que você consolida saídas stealth em um endereço transparente devolve a maior parte do ganho de privacidade que tinha acabado de conquistar. O modelo mental correto é "endereços stealth são uma primitiva de privacidade, não um produto de privacidade". Se a sua meta é fungibilidade total — saídas com aparência idêntica na camada de protocolo, valores que não são visíveis, remetentes que não são rastreáveis — o fluxo mais limpo é receber em um endereço stealth e em seguida rotear via MoneroSwapper para uma conversão ETH-para-XMR sem KYC entregue em um Subaddress Monero novo. A partir dali, assinaturas em anel, Bulletproofs e difusão Dandelion++ cuidam do resto, e sua pegada on-chain termina no ponto em que o endereço stealth terminou.