Explosion des adresses IP sur le réseau Bitcoin : alerte à une possible attaque Sybil ?

Le réseau Bitcoin fait face à une augmentation inhabituelle du nombre d’adresses IP uniques dans sa couche de communication pair-à-pair. Selon les données du Karlsruher Institut für Technologie en Allemagne, le nombre d’adresses détectées quotidiennement dans les messages ADDR non sollicités a atteint 250 000 début mai 2026, contre une fourchette stable de 30 000 à 60 000 sur les huit dernières années.

Cette hausse brutale, signalée par l’expert en sécurité Jameson Lopp sur X (ex-Twitter), suscite des interrogations sur une possible préparation à une attaque Sybil. Ce type d’attaque consiste à inonder le réseau de faux nœuds pour manipuler les systèmes de réputation ou de découverte des pairs.

Les messages ADDR, utilisés par les nœuds Bitcoin pour partager les adresses IP des pairs, jouent un rôle clé dans la découverte des nœuds. Une fois connectés à quelques nœuds initiaux, les nouveaux nœuds reçoivent aléatoirement ces messages pour élargir leur réseau de pairs. Une telle augmentation pourrait donc faciliter la propagation de transactions et de blocs, mais aussi ouvrir la porte à des attaques ciblées.

Attaques potentielles : Sybil ou Eclipse

Parmi les scénarios redoutés :

• L’attaque Sybil : création massive de faux nœuds pour tromper les mécanismes de confiance du réseau.
• L’attaque par éclipse : un attaquant remplit le tableau d’adresses IP d’une victime avec ses propres adresses, puis redémarre le nœud pour lui imposer une vision falsifiée de la blockchain. Une démonstration de cette technique avait été réalisée par des chercheurs de l’Université de Boston en 2015.

Pour limiter ces risques, le logiciel Bitcoin Core a renforcé les limites de débit des messages ADDR et amélioré le regroupement des adresses. Cependant, aucun réseau décentralisé n’est totalement à l’abri de ces menaces.

Autres hypothèses : surveillance ou croissance légitime ?

Une autre piste évoquée est celle de la surveillance. Un acteur nommé LinkingLion avait déjà été repéré en train de se connecter brièvement à des nœuds Bitcoin depuis 812 adresses IP différentes, probablement pour tracer l’origine des transactions. Une augmentation soudaine des adresses fictives pourrait servir de couverture à ce type d’activité.

Enfin, une explication plus anodine pourrait être une hausse de la participation légitime au réseau. Cependant, la rapidité et l’ampleur de la hausse rendent cette hypothèse moins probable.

« Si ces données sont exactes, quelqu’un se comporte mal en inondant le réseau de fausses adresses de nœuds Bitcoin. Une préparation à une attaque Sybil ? »

Reste à déterminer si cette augmentation reflète une menace réelle ou une évolution temporaire du réseau. Les experts appellent à une vigilance accrue dans les semaines à venir.