봇넷이 우연히 I2P를 파괴했다

Source: Hacker News

공격 개요

2026년 2월 3일, I2P 익명 네트워크는 700,000개의 적대적 노드로 범람했으며, 이는 익명 네트워크가 경험한 가장 파괴적인 Sybil 공격 중 하나가 되었다. 네트워크는 일반적으로 15,000~20,000개의 활성 장치를 운영한다. 공격자는 이를 39 대 1 비율로 압도했다.

역사적 배경

3년 연속으로, I2P는 매년 2월마다 Sybil 공격을 받았다. 2023년과 2024년 공격은 악성 floodfill 라우터를 사용했으며, 아직 출처가 밝혀지지 않았다. 2026년 공격이 시작될 때 대부분은 연례 방해 캠페인을 지속하는 동일한 국가 지원 작전이라고 추정했다. 그 가정은 틀렸다.

공격자 식별

공격자는 Kimwolf 봇넷으로 확인되었으며, 이는 2025년 말까지 스트리밍 박스와 소비자 라우터를 포함한 수백만 대의 장치를 감염시킨 IoT 봇넷이다. Kimwolf는 2025년 12월에 기록적인 31.4 테라비트 초당 DDoS 공격을 수행한 동일한 조직이다. 운영자들은 Discord에서 보안 연구원들이 그들의 주요 C2 서버 550여 개를 파괴한 후 백업 명령‑제어 인프라로 네트워크를 사용하려다 실수로 I2P를 방해했다고 인정했다.

완화 및 대응

I2P 개발팀은 공격 시작 6일 만에 버전 2.11.0을 배포했다. 이 릴리스에는 기본적으로 활성화된 하이브리드 ML‑KEM 플러스 X25519 포스트‑양자 암호화가 포함되어, I2P를 모든 사용자에게 포스트‑양자 암호화를 제공하는 최초의 생산용 익명 네트워크 중 하나로 만들었다. 추가적인 Sybil 완화, SAMv3 API 업그레이드 및 인프라 개선도 포함되었다.