Definisie
'n Aanvalsvektor is 'n gedefinieerde roete waardeur 'n aanvaller ongemagtigde invloed kan verkry oor 'n stelsel se integriteit, beskikbaarheid of vertroulikheid. In blockchain- en smart contract-sekuriteit verwys dit na die konkrete meganisme, toestand of interaksiepatroon wat uitgebuit kan word om onbedoelde gedrag te veroorsaak of waarde te onttrek. Aanvalsvektore kan voortspruit uit protokolontwerpfoute, implementasiefoute of onveilige aannames oor eksterne komponente soos 'n Oracle.
Anders as 'n algemene kwesbaarheid, wat 'n swakheid in die stelsel is, beskryf 'n aanvalsvektor hoe daardie swakheid in die praktyk bereik en benut word deur 'n teenstander. Byvoorbeeld, 'n Reentrancy-toestand in 'n smart contract is 'n kwesbaarheid, terwyl die volgorde van oproepe en toestandveranderings wat dit uitbuitbaar maak, die aanvalsvektor vorm. Sekuriteitsoorsigte, Bug Bounty-programme en White Hat-navorsing fokus daarop om aanvalsvektore te identifiseer en te karakteriseer voordat dit in 'n lewende Exploit omskep word.
Konteks en Gebruik
In gevorderde crypto-sekuriteitsbesprekings word die term aanvalsvektor gebruik om die presiese roete van potensiële kompromittering binne komplekse, saamstelbare stelsels te kategoriseer en te kommunikeer. Dit kan laevlak-kwessies in smart contract-logika, kruis-contract-interaksies, protokolvlak-aansporingsmislukkings of afhanklikhede van off-chain-databronne en infrastruktuur beskryf. Die kartering van aanvalsvektore help om die bedreigingsmodel van 'n protokol te formaliseer en te verduidelik watter aannames, soos die betroubaarheid van 'n Oracle, die kritiekste is.
Aanvalsvektore word dikwels in naskouings (post-mortems) van voorvalle gedokumenteer, waar die volledige ketting van toestande wat tot 'n Exploit gelei het, weer saamgestel word. Dit verskyn ook in Bug Bounty-openbaarmakings, waar White Hat-navorsers die presiese voorkondisies en transaksiepatrone spesifiseer wat nodig is om die probleem te aktiveer. Met verloop van tyd word herhalende aanvalsvektore, soos dié wat Reentrancy of verkeerd gekonfigureerde toegangsbeheer behels, standaardkategorieë in sekuriteitstaksonomieë en rig hulle beste praktyke vir protokolontwerp en ouditering.