Tecnicamente come è possibile verificare solo i nuovi blocchi? La blockchain non viene scaricata a partire dai più vecchi? E' possibile richiedere ai nodi della rete solo i blocchi più "giovani di" ?
Sull'ipotesi mempool quindi leggerebbe i blocchi in attesa di essere minati, propagati in broadcast a tutti i nodi della rete bitcoin? L'attaccante dovrebbe di tanto in tanto inviare nuove transazioni per essere intercettate dai bot in ascolto in quel momento?
Ci sono molti modi possibili, ad esempio potrebbe avere memorizzato un certo blocco che viene "preso per buono" e usato come se fosse il genesis block, oppure potrebbe semplicemente leggere indiscriminatamente tutti i nuovi blocchi cercando quelli che hanno certe informazioni in OP_RETURN formattate in un certo modo. Come detto da alexrossi si tratterebbe di una sorta di client molto non-standard.