Teknologi mata uang privasi selalu menarik. Peneliti keamanan menemukan bahwa melalui analisis statistik terhadap karakteristik waktu transaksi, sebenarnya dapat cukup akurat untuk mengidentifikasi transaksi nyata. Misalnya, sebuah studi tahun 2017 menunjukkan—di dalam kumpulan transaksi yang berisi mata uang asli dan palsu, karena mekanisme algoritma umpan yang digunakan, mata uang asli cenderung terkait dengan transfer terakhir di blockchain. Metode analisis waktu ini dapat mengenali transaksi nyata dalam lebih dari 90% kasus, secara dasar mengabaikan langkah-langkah perlindungan mata uang privasi.

Tim pengembang Monero tentu tidak diam saja. Mereka terus mengoptimalkan algoritma pemilihan dompet untuk mixing, dan juga menambah jumlah mixing. Tapi yang memalukan—bahkan dengan peningkatan ini, laporan studi yang sama pada 2018 tetap menemukan celah baru. Pada 2021, masalah ini masih ada. Terutama pada Juli tahun lalu, ditemukan bug dalam mekanisme umpan—pengeluaran dalam 20 menit setelah menerima koin akan langsung dikenali sebagai pengeluaran nyata. Meskipun kemudian diperbaiki, pengguna yang sudah melakukan transaksi sebelumnya tidak bisa mendapatkan perlindungan kembali.

Baru-baru ini, ada laporan celah keamanan baru yang diajukan ke proses respons keamanan Monero, menunjukkan bahwa meskipun sudah menggunakan patch terbaru, algoritma umpan saat ini masih berpotensi memiliki masalah. Bagian ini masih dalam tahap penelitian aktif, belum ada kesimpulan pasti.

Singkatnya, algoritma pemilihan umpan selalu menjadi kelemahan sistem seperti RingCT. Meskipun memperbesar ukuran lingkaran bisa mengurangi beban, menyelesaikan masalah ini secara fundamental terbukti sangat sulit.

Selain itu, ada juga ancaman serangan "flooding". Penyerang dapat mengirim transaksi secara massal ke jaringan untuk menghapus mixin dari dompet. Makalah FloodXMR secara rinci mencatat metode ini. Namun, karena asumsi biaya transaksi dalam makalah ini memiliki kekurangan, biaya dan kelayakan serangan semacam ini masih menjadi perdebatan.