一个 Botnet 意外摧毁了 I2P

Source: Hacker News

攻击概述

2026年2月3日，I2P 匿名网络被 70 万个恶意节点淹没，成为匿名网络历史上最具破坏性的 Sybil 攻击之一。该网络通常只有 1.5 万至 2 万个活跃设备。攻击者以 39:1 的比例压垮了网络。

历史背景

连续三年，I2P 每年二月都遭受 Sybil 攻击。2023 年和 2024 年的攻击使用了恶意 floodfill 路由器，且始终未被归属。当 2026 年的攻击开始时，大多数人认为这仍是同一国家支持的行动在进行年度干扰活动。但这一假设是错误的。

攻击者识别

攻击者被确认是 Kimwolf 僵尸网络，这是一种 IoT 僵尸网络，在 2025 年底感染了包括流媒体盒子和消费级路由器在内的数百万设备。Kimwolf 也是 2025 年12月创纪录的 31.4 Tbps DDoS 攻击的幕后组织。该组织在 Discord 上承认，他们在尝试将 I2P 用作备份指挥控制基础设施时，意外导致了 I2P 的中断——当时安全研究人员已经摧毁了其超过 550 台的主要 C2 服务器。

缓解与响应

I2P 开发团队在攻击开始后仅六天就发布了 2.11.0 版。该版本默认启用了混合 ML‑KEM 加 X25519 后量子加密，使 I2P 成为首批向所有用户提供后量子密码学的生产匿名网络之一。除此之外，还加入了额外的 Sybil 缓解措施、SAMv3 API 升级以及基础设施改进。