Ein Eclipse Attack nutzt die Tatsache aus, dass keine Blockchain-Node gleichzeitig mit jedem Peer im Netzwerk direkt verbunden sein kann. Jede Node unterhält nur eine kleine, begrenzte Anzahl aktiver Verbindungen, und ein Angreifer, der genügend IP-Adressen kontrolliert, kann die Verbindungsplätze eines Ziels mit bösartigen Peers fluten, bis jede Verbindung, auf die das Opfer für Block- und Transaktionsdaten angewiesen ist, dem Angreifer gehört.
Sobald eine Node "eclipsed" ist, sieht das Opfer nur noch die Version der Blockchain, die der Angreifer zeigen möchte. Dies kann genutzt werden, um legitime Transaktionen zu verbergen, der Node eine gefälschte Chain vorzuspielen oder sie glauben zu lassen, eine Zahlung sei bestätigt worden, obwohl sie nie wirklich im echten Netzwerk abgewickelt wurde, ein Szenario, das Forscher als N-Confirmation Double Spend bezeichnen. Werden gleich mehrere Miner eclipsed, kann ein Angreifer zudem deren Rechenleistung an einer gefälschten Chain verschwenden oder den Angriff als Sprungbrett zu einem umfassenderen 51% Attack nutzen, indem er einen Teil der ehrlichen Hashing Power des Netzwerks vorübergehend vom Rest abschneidet.
Ein Eclipse Attack unterscheidet sich im Umfang von einem Sybil Attack: Ein Sybil Attack flutet das gesamte Netzwerk mit gefälschten Identitäten, um breiten Einfluss zu gewinnen, während ein Eclipse Attack gezielt eine einzelne Opfer-Node angreift. Die Technik wurde 2015 von akademischen Forschern erstmals formal gegen Bitcoin demonstriert, und eine Folgestudie zeigte, dass frühe Ethereum-Clients bereits mit nur zwei Maschinen eclipsed werden konnten. Beide Netzwerke haben seither Schutzmaßnahmen ergänzt, etwa eine Begrenzung der Verbindungen pro IP-Adresse und eine breitere Streuung bei der Peer-Auswahl, auch wenn kleinere oder weniger aktiv überwachte Blockchains weiterhin für dieselbe zugrunde liegende Schwachstelle anfällig bleiben.