kht
você está correto! Este cenário existe e por hora vamos ver este problema acontecendo na prática e tomar outra medida. Como por exemplo, considerar o bloqueio por usuário e também por IP, mas sendo que o IP tem um limite maior.
Sobre o bloqueio ser apenas por usuário, continuará muito fácil criar outras contas para fazer o mesmo tipo de ataque.