Если вдруг внезапно запросов становится много, показывать капчу перед отправкой смс. Так же с одного айпи, 2-3 запроса за час - потом капча. Ну и само собой регистрация в 2 этапа: сначала введите данные, затем подтвердите номер.
Запрещать 2 регистрации с одного айпи нельзя, сейчас нередка ситуация когда один айпи на пару сотен абонентов.
Что если в API передавать какой-нибудь идентификатор, например CSRF-токен страницы регистрации? Это конечно не панацея, но убережет от использования апишки не по назначению.
