Haveno

Haveno 是去中心化的 P2P XMR / 法幣兌換平台 — 作為 Bisq 的 Monero 原生後繼者，建構於 Tor 之上，具備鏈上多重簽名託管、無中央運營商且無 KYC。歷史上收錄為A 級 · 編輯精選，*目前因 2026-05-20 協議漏洞攻擊而處於審查中* — 在開啟任何新交易前，請參閱下方的事件章節。結構性隱私姿態（P2P、僅限 Tor、多重簽名、非託管）仍然是兌換類別中最強的，但該次攻擊展示了多重簽名流程中一個真實的協議層級攻擊面。

背景。 Haveno 是開源協議，主要由 woodser（該專案自 Bisq 分支以來一直是公眾面孔的首席開發者）編寫。Haveno 本身並不營運一個網路 — 它是您安裝的軟體（Linux / macOS / Windows 桌面客戶端），連接到由社群獨立運作、擁有各自仲裁者和種子節點的幾個網路之一。值得注意的運營商包括 Haveno-Reto / RetoSwap（haveno-reto.com、retoswap.com — 流動性最高的公開網路）以及少數其他網路。每個網路可以設定自己的仲裁者政策、支付方式白名單和費用。流動性集中在 Haveno-Reto / RetoSwap。程式碼位於 github.com/haveno-dex/haveno。

您信任的是什麼。 架構：節點之間僅限 Tor 傳輸；非託管錢包（Monero、多重簽名）；使用者在整個過程中自行持有金鑰。多重簽名託管：交易使用 2-of-3 Monero 多重簽名 — 買方、賣方和仲裁者 — 因此仲裁者僅在爭議升級時簽名釋放資金，且在正常流程中無法單方面轉移資金。您無需信任的：在順利路徑中無運營商對 XMR 的託管、無對買方或賣方進行中央 KYC、無中央帳號；註冊即安裝客戶端的行為。您*必須*信任的：多重簽名協議實作（2026 年的攻擊證明這並非微不足道 — 見事件）；您加入的網路的仲裁者誠信度（不同運營商由不同仲裁者營運，信譽各異）；以及發生在 Haveno 之外的法幣支付環節（現金郵寄、SEPA、Zelle、Wise 等 — 每種方式各有其 KYC + 隱私屬性）。

事件 — 2026-05-20。 嚴重性：高。一次使用偽造的仲裁者 ACK 訊息的協議層級攻擊，允許攻擊者在存款被鎖定前劫持 2-of-3 多重簽名錢包，從活躍報價中抽走資金（大型加密貨幣報價為主要目標）。約7,000 XMR（約 $2.7M）損失，影響受影響的 RetoSwap 使用者 — 受衝擊的主要運營商。回應迅速且透明：首席開發者 woodser 公開揭露了正在進行中的攻擊，RetoSwap 暫停交易並封鎖攻擊者，緊急修補程式（Haveno v1.5 / RetoSwap v1.6.0-reto）在數天內發布 — 一個針對性的防禦性檢查，用於在 ACK 訊息流程中驗證對等節點身份。透過強制最低客戶端版本，全網交易被暫停。截至本次審查日（2026-05-25），資金尚未追回；運營商未排除部分追回的可能性，事件視窗仍處於開放狀態。網路正在修補後的協議下恢復營運，但流動性已受到影響。編輯建議：在您的客戶端回報確認修補程式已啟用的最低版本升級之前，不要在任何 Haveno 運營商上開啟新報價；如果您有未完成的報價，請備份您的錢包並遵循您運營商的建議。

營運規格。 介面：桌面客戶端（Linux + macOS + Windows）。幣種：以 XMR 為主；法幣透過 P2P 安排處理（無鏈上法幣 — 買方在鏈下發送法幣，賣方從多重簽名中釋放 XMR）。支付方式（按每份報價協商）：現金郵寄、SEPA、Zelle、Wise、Revolut、Strike、Pix、Interac、ACH、Faster Payments、Bizum、Paysera、F2F（面對面）及更多。費用：每報價掛單/吃單價差 + 網路運營商費（因運營商而異）。交易限額：因運營商及支付方式而異（某些流程支援無需存款的小額交易）。網路存取：僅限 Tor。以 XMR 資助的開發賞金計畫。

理念。 Haveno 的編輯差異化因素是對 P2P + 多重簽名 + Tor 作為唯一結構性非託管法幣-XMR 通道的賭注。中心化交易所在兌換期間託管您的資金並要求 KYC；聚合器將其縮減為路由層託管窗口，但仍然會觸碰您的資金；Haveno 從不託管 — 託管是鏈上 Monero 多重簽名，由您簽名。這種架構承諾使 Haveno 成為正統的隱私優先法幣通道，也使其比中心化兌換更複雜地安全操作（多重簽名流程有更多活動部件，如 2026-05 所展示的）。

評級理由（待重新評估）。 A 級和編輯精選基於：非託管多重簽名架構；僅限 Tor 傳輸；社群驅動的獨立運營商；開源程式碼庫 + 賞金計畫；無運營商層級 KYC；長期團隊（woodser 自 Bisq 分支時代起便參與該專案）。2026 年 5 月的事件引入了一個真實的評級問題 — 影響使用者 $2.7M 的攻擊按任何標準衡量都是實質性事件 — 部分被迅速且透明的回應以及在數天內發布的協議修補程式所抵消。xmr.club 保留 A 級評級並設定具體的重新評估觸發條件：在修補後的協議下至少 90 天無事件營運窗口*以及*運營商發布的事後分析。如果在 90 天節點任一條件未滿足，評級將降至 B，並在 /incidents 中發布理由說明。整個過程中，事件標記在列表上持續顯示。

適用場景。 您想在非託管、無 KYC 的流程中將 XMR 兌換為法幣（或反方向操作），且您理解 P2P 的取捨（流動性波動、需要耐心、法幣環節使用傳統支付管道及其自身的 KYC）。您想要兌換類別中最強的隱私姿態 — 為此屬性接受營運複雜性。您樂於安裝桌面客戶端並配置 Tor。您想以實際交易量支持去中心化交易所的論點。

注意事項。 事件意識：見上方事件章節。在修補的最低客戶端版本在您的運營商網路上被強制執行之前，不要開啟新報價。流動性低於中心化兌換 — 預期需要等待對手方匹配，且大額交易（>50 XMR）可能不易迅速找到接受者。僅限桌面 — 無行動版、無網頁版。法幣環節隱私取決於您選擇的支付方式 — 現金郵寄最具隱私性；SEPA / Zelle / Wise 在法幣端承載完整的銀行層級 KYC。多重簽名爭議解決需要時間 — 當交易出現問題時，仲裁者流程可能需要數天；這不是「即時兌換」體驗。網路選擇很重要 — 不同運營商有不同的仲裁者品質、費用結構和可靠性。Haveno-Reto / RetoSwap 擁有最高流動性，但也是受 2026 年 5 月攻擊衝擊最重的運營商。協議風險是真實的 — 2026 年 5 月證明了針對多重簽名兌換流程的精妙協議層級攻擊是可能的，而對多重簽名的架構承諾意味著無法在結構上排除未來類似漏洞的可能性；修補模型是「發現、修復、發布最低版本升級」，而非「從一開始就沒有攻擊面」。