Plötzlicher Anstieg von Bitcoin-IP-Adressen: Sybil-Angriff oder Netzwerküberwachung?

Das Bitcoin-Netzwerk erlebt derzeit einen ungewöhnlichen Anstieg der einzigartigen IP-Adressen in seinem Peer-to-Peer-Kommunikationskanal, dem sogenannten Gossip-Kanal. Innerhalb weniger Wochen stieg die Anzahl der täglich erfassten Adressen von etwa 30.000–60.000 auf bis zu 250.000 an. Diese Entwicklung wirft Fragen nach möglichen Hintergründen auf.

Plötzlicher Anstieg der IP-Adressen

Jameson Lopp, ein bekannter Bitcoin-Experte, veröffentlichte am 10. Mai 2026 eine Grafik, die den dramatischen Anstieg der einzigartigen IP-Adressen zeigt. Die Daten stammen von einem Live-Netzwerkmonitor des Karlsruher Instituts für Technologie (KIT) in Deutschland. Seit Mitte April 2026 verzeichnet das System einen kontinuierlichen Anstieg der täglich erfassten Adressen, die über unsolicited ADDR-Nachrichten verbreitet werden.

ADDR-Nachrichten dienen der Peer-Erkennung im Bitcoin-Netzwerk. Neue Knoten erhalten nach der ersten Verbindung zu anderen Knoten zufällig ADDR-Nachrichten, die Informationen über weitere aktive Knoten enthalten. Dies ermöglicht eine effiziente Verbreitung von Transaktionen und Blöcken im Netzwerk.

Mögliche Ursachen: Angriff oder Überwachung?

Die Gründe für den plötzlichen Anstieg der IP-Adressen sind noch unklar. Es gibt sowohl harmlose als auch potenziell gefährliche Erklärungen:

• Harmlose Erklärungen:
  • Eine erhöhte Teilnahme legitimer Knoten am Netzwerk.
  • Technische Anpassungen oder Wartungsarbeiten im Netzwerk.
• Bedrohliche Szenarien:
  • Sybil-Angriff: Ein Angreifer könnte versuchen, das Netzwerk mit gefälschten Knoten zu überfluten, um die Reputationssysteme zu manipulieren.
  • Eclipse-Angriff: Ein Angreifer könnte die IP-Adresstabelle eines Opfers mit eigenen Adressen füllen, um nach einem Neustart die Kontrolle über die Verbindungen zu übernehmen. Dies würde es ermöglichen, dem Opfer eine manipulierte Blockchain-Version zu präsentieren.
  • Netzwerküberwachung: Eine gezielte Erfassung von Transaktionsdaten durch eine unbekannte Entität, ähnlich wie die Aktivitäten der Gruppe LinkingLion, die in der Vergangenheit kurzlebige Verbindungen zu Bitcoin-Knoten aufgebaut hat, um die erste Weiterleitung von Transaktionen zu protokollieren.

Sybil-Angriff: Eine bekannte Bedrohung

Ein Sybil-Angriff zielt darauf ab, ein dezentrales Netzwerk durch die Erstellung einer großen Anzahl gefälschter Identitäten zu destabilisieren. Im Fall von Bitcoin könnte dies bedeuten, dass ein Angreifer eine Vielzahl gefälschter Knoten erstellt, um die Peer-Erkennung zu stören oder Transaktionen zu manipulieren. Obwohl Bitcoin Core durch verbesserte Adressverwaltung und Ratenbegrenzungen für ADDR-Nachrichten versucht, solche Angriffe zu erschweren, bleibt das Netzwerk nicht vollständig immun.

Eclipse-Angriff: Manipulation der Blockchain-Sicht

Ein Eclipse-Angriff ist eine spezifischere Form des Angriffs, bei dem ein Angreifer die IP-Adresstabelle eines Opfers mit eigenen Adressen füllt. Nach einem Neustart des Opfers übernimmt der Angreifer die Kontrolle über die Verbindungen und kann dem Opfer eine gefälschte Blockchain präsentieren. Dies könnte genutzt werden, um Double-Spend-Angriffe durchzuführen oder Transaktionen zu zensieren. Die Forscher der Boston University demonstrierten bereits 2015 die Machbarkeit eines solchen Angriffs.

Netzwerküberwachung als mögliche Erklärung

Eine weitere mögliche Erklärung für den Anstieg der IP-Adressen ist die gezielte Überwachung des Bitcoin-Netzwerks. Die Gruppe LinkingLion wurde in der Vergangenheit dabei beobachtet, wie sie kurzlebige Verbindungen zu Bitcoin-Knoten von 812 IP-Adressen aus aufbaute. Das Ziel könnte gewesen sein, die erste Weiterleitung von Transaktionen zu protokollieren, um diese Daten für Blockchain-Analysen zu nutzen. Ein plötzlicher Anstieg gefälschter Knoten könnte eine solche Überwachung erleichtern, indem er die tatsächlichen Knoten in der Masse untergehen lässt.

Fazit: Unklare Ursache, aber potenzielle Risiken

Während die genauen Ursachen für den Anstieg der IP-Adressen noch unklar sind, zeigen die möglichen Szenarien, dass sowohl harmlose als auch bedrohliche Erklärungen denkbar sind. Die Bitcoin-Community und Entwickler müssen die Situation genau beobachten, um potenzielle Angriffe frühzeitig zu erkennen und abzuwehren. Gleichzeitig bleibt die Frage, ob es sich um eine gezielte Überwachung oder Vorbereitung eines Angriffs handelt, vorerst unbeantwortet.

"Kein dezentrales Netzwerk ist vollständig immun gegen Sybil-Angriffe. Die aktuellen Entwicklungen im Bitcoin-Netzwerk unterstreichen die Notwendigkeit, die Netzwerksicherheit kontinuierlich zu überwachen und zu verbessern."