Mas e no caso de contas zombies? Seria interessante uma alternativa mais extrema em casos extremos, tipo banir o IP, pra dificultar ainda mais a criação de contas (principalmente se fizer isso por meio de script)

Os endereços IP são dinâmicos, portanto, creio que banir o IP causaria mais problemas que soluções. Talvez um pequeno programa p executar a captura do endereço MAC da origem. Assim, um usuário que pegasse o IP monitorado por usar IP dinâmico (a maioria dos IPs clientes são dinâmicos) não teria seu acesso negado. Já o atacante pode mudar seu endereço IP diversas vezes e com facilidade, entretanto, mascarar um MAC irá demandar mais recursos do atacante. Qto ao tempo de bloqueio, me parece que o ideal seria adotar uma função exponencial.

Uma das coisas que quero fazer na próxima Milestone é junto de um nuke bloquear o ip lá na Cloudflare 🤝

Isso seria bem interessante, já acabaria com muitos espertinhos que tentassem burlar o sistema, porém, pessoas com um pouco mais de expertise poderiam usar em seu script uma vpn alterando assim o seu IP.

Sim, também pensei nesse caso, mas no caso de contas zumbis assim dá pra combinar banir IP + captcha pra que seja custoso demais burlar esse sistema.