Bitcoin enfrenta possível ataque Sybil: número de endereços IP na rede dispara

Uma análise recente da rede Bitcoin revelou um crescimento alarmante no número de endereços IP únicos detectados em sua camada de comunicação peer-to-peer, conhecida como canal de fofoca. Segundo dados do Karlsruher Institut für Technologie, da Alemanha, o volume diário de endereços saltou de cerca de 30 mil–60 mil para impressionantes 250 mil em maio de 2026 — um aumento de mais de 400% em relação ao padrão dos últimos oito anos.

Suspeitas de ataque Sybil ou atividade suspeita

O engenheiro de software e especialista em Bitcoin, Jameson Lopp, chamou a atenção para o fenômeno em uma publicação no X (antigo Twitter), questionando se o crescimento repentino poderia ser um indício de preparação para um ataque Sybil. Nesse tipo de ataque, um invasor cria múltiplas identidades falsas para manipular sistemas de reputação ou dominar a rede.

Lopp compartilhou um gráfico do monitoramento ao vivo da rede, destacando o pico de 250 mil endereços únicos por dia. "Alguém está se comportando mal e tentando espalhar um monte de endereços falsos de nós Bitcoin pela rede", escreveu. Veja o post original.

Como funciona a detecção de nós na rede Bitcoin

A rede Bitcoin utiliza mensagens do tipo ADDR para que os nós compartilhem informações sobre endereços IP de outros nós com os quais tiveram contato. Essas mensagens não solicitadas ajudam novos nós a descobrirem peers rapidamente, permitindo uma conexão mais eficiente para transmissão de transações e blocos.

Durante anos, o sistema de monitoramento alemão registrou uma média de 30 mil a 60 mil endereços únicos por dia. No entanto, desde meados de abril de 2026, os números começaram a subir drasticamente, ultrapassando a barreira de 250 mil em maio. Especialistas debatem se o fenômeno é resultado de:

• Atividade legítima: aumento natural no número de nós participantes na rede;
• Ataque Sybil: criação massiva de nós falsos para manipular a rede;
• Ataque de eclipse: preenchimento da tabela de IPs de um nó com endereços controlados pelo atacante, permitindo o controle temporário de sua visão da blockchain;
• Monitoramento suspeito: mapeamento de transações para análise de dados por terceiros.

Ameaças potenciais e medidas de proteção

Embora o Bitcoin Core tenha implementado melhorias como limites de taxa para mensagens ADDR e segmentação de tabelas de endereços, nenhuma rede descentralizada está totalmente imune a ataques Sybil. Um estudo da Universidade de Boston (2015) demonstrou como um invasor pode eclipsar um nó, preenchendo sua lista de peers com IPs controlados e, assim, fornecer uma visão falsa da blockchain após um reinício.

Outra possibilidade levantada é a de vigilância em massa. Em 2023, foi descoberto que um grupo chamado LinkingLion abriu conexões curtas com nós Bitcoin a partir de 812 IPs, possivelmente para rastrear qual endereço primeiro retransmitiu cada transação — uma prática útil para análise de blockchain por empresas de dados.

O que esperar daqui para frente?

Até o momento, não há confirmação oficial sobre a origem do aumento de endereços. A rede Bitcoin permite que qualquer pessoa inicie nós livremente, sem necessidade de permissão. No entanto, a comunidade permanece atenta a possíveis atividades maliciosas que possam comprometer a segurança ou a privacidade da rede.

Especialistas recomendam que os operadores de nós mantenham seus softwares atualizados e monitorem comportamentos suspeitos em suas tabelas de peers. Enquanto isso, a comunidade aguarda por mais esclarecimentos sobre o que realmente está por trás desse crescimento abrupto de endereços IP na rede.