Definice
Útočný vektor je přesně vymezená cesta, kterou může útočník získat neoprávněný vliv na integritu, dostupnost nebo důvěrnost systému. V oblasti bezpečnosti blockchainu (blockchain) a smart contractů označuje konkrétní mechanismus, stav nebo vzorec interakce, který lze zneužít k vyvolání nechtěného chování nebo k odčerpání hodnoty. Útočné vektory mohou vznikat z chyb v návrhu protokolu, implementačních chyb nebo z nebezpečných předpokladů o externích komponentách, jako je Oracle.
Na rozdíl od obecné zranitelnosti, což je slabina v systému, útočný vektor popisuje, jak je tato slabina v praxi dosažitelná a využitelná útočníkem. Například Reentrancy podmínka ve smart contractu je zranitelnost, zatímco posloupnost volání a změn stavu, která ji činí zneužitelnou, tvoří útočný vektor. Bezpečnostní audity, Bug Bounty programy a výzkum White Hat se zaměřují na identifikaci a popis útočných vektorů dříve, než se z nich stane reálný Exploit.
Kontext a použití
V pokročilých diskusích o bezpečnosti v kryptu se pojem útočný vektor používá k kategorizaci a přesnému popsání možných cest kompromitace v komplexních, vzájemně propojovatelných systémech. Může popisovat nízkoúrovňové problémy v logice smart contractu, interakce mezi kontrakty, selhání incentiv na úrovni protokolu nebo závislosti na off-chain datových zdrojích a infrastruktuře. Zmapování útočných vektorů pomáhá formalizovat hrozbový model protokolu a vyjasnit, které předpoklady – například důvěryhodnost Oracle – jsou nejkritičtější.
Útočné vektory jsou často dokumentovány v post-mortem analýzách incidentů, kde se rekonstruuje celý řetězec podmínek vedoucích k Exploitu. Objevují se také v Bug Bounty reportech, kde White Hat výzkumníci přesně specifikují předpoklady a vzorce transakcí potřebné ke spuštění problému. Postupem času se opakující útočné vektory, například ty zahrnující Reentrancy nebo špatně nastavené přístupové kontroly, stávají standardními kategoriemi v bezpečnostních taxonomiích a ovlivňují osvědčené postupy pro návrh a audit protokolů.