Minha pergunta decorre do fato de que pensei que um usuário mal-intencionado simplesmente daria o arquivo malicioso a outros usuários e eles o aceitariam. Isso acaba sendo incorreto.
Tanto quanto eu entendo isso - parece que o arquivo .torrent contém metadados sobre o hash SHA1 de cada bloco de arquivo que você irá baixar.
Isso significa que você pode fazer com que usuários mal-intencionados enviem dados mal-intencionados, mas o cliente de torrent verifica o hash dos dados enviados e o hash esperado. Se eles não corresponderem, o arquivo será descartado.
Consequentemente, a confiança depende agora do arquivo .torrent e do local de onde você o obteve. Se originalmente contiver somas de verificação para um arquivo malicioso, você não poderá fazer nada além de baixar o arquivo malicioso .
É como se houvesse um mecanismo em torrents de DHT sem tracker, que acabam eliminando pares maliciosos, mas eu não tenho acesso ao artigo que o descreve - link