Moin Matthias,
Variante 1 ist wesentlich wahrscheinlicher.
Siehe Github-Issue: das sehe ich anders. Z. B. das gesamte Mobilfunk-Netz ist hinter einem NAT, dein Handy wird nie eine offizielle IP bekommen. Das tun die Provider, um IPv4-Adressen zu sparen. O2 ist bekannt dafür, dass sie durchaus schonmal transparente Proxies einsetzen. Leute, die Thor nutzen, können ggfls. sogar bei jedem Request eine andere IP haben.
Nein, IMHO heutzutage ist die IP als Identifikationsmittel völlig unbrauchbar.
LG,
CK