Esse problema é chamado hotlinking de imagem.
O Nginx pode ser configurado de várias maneiras para protegê-lo. Leia sobre isso aqui:
Problemas na proteção de hotlink do Nginx
Como você está dizendo, cerca de 150 mil IPs atingiram 500 mil vezes, o que significa cerca de três vezes cada. Com isso em mente, você também pode adicionar o cache do navegador de tais arquivos jpeg estáticos na mistura, para evitar 66% das solicitações. Servindo arquivos estáticos de um domínio chamado cookieless salva outro bit.
Outra rota a considerar é a proibição de IPs no nível do firewall, por exemplo, com a ajuda do Fail2Ban. Se você banir cada um após o primeiro download desse arquivo, você economiza 66% dos pedidos. Porque nunca chega ao seu servidor, isso economiza muitos recursos. Mas isso não para na fonte.
A proteção de hotlink baseada em referrer é ideal, e quando você mantém uma lista de referenciadores, você pode pedir que eles parem de fazer hotlinking, para que o problema desapareça depois de um tempo.