Definition
En attack vector er en defineret kanal, hvorigennem en angriber kan opnå uautoriseret indflydelse på et systems integritet, tilgængelighed eller fortrolighed. I sikkerhed for blockchain (blockchain) og smart contracts henviser det til den konkrete mekanisme, tilstand eller interaktionsmønster, der kan udnyttes til at udløse utilsigtet adfærd eller udtrække værdi. Attack vectors kan opstå fra designfejl i protokollen, implementeringsfejl eller usikre antagelser om eksterne komponenter såsom en Oracle.
I modsætning til en generel sårbarhed, som er en svaghed i systemet, beskriver en attack vector, hvordan denne svaghed i praksis nås og udnyttes af en modstander. For eksempel er en Reentrancy-tilstand i en smart contract en sårbarhed, mens rækkefølgen af kald og tilstandsændringer, der gør den udnyttelig, udgør attack vectoren. Sikkerhedsgennemgange, Bug Bounty-programmer og White Hat-forskning fokuserer på at identificere og karakterisere attack vectors, før de bliver omsat til et aktivt Exploit.
Kontekst og brug
I avancerede diskussioner om kryptosikkerhed bruges udtrykket attack vector til at kategorisere og kommunikere den præcise vej til potentiel kompromittering i komplekse, komponerbare systemer. Det kan beskrive lavniveauproblemer i smart contract-logik, interaktioner på tværs af contracts, incitamentsfejl på protokolniveau eller afhængigheder af off-chain datakilder og infrastruktur. Kortlægning af attack vectors hjælper med at formalisere et protokols trusselsmodel og tydeliggøre, hvilke antagelser – såsom troværdigheden af en Oracle – der er mest kritiske.
Attack vectors dokumenteres ofte i post-mortems af hændelser, hvor hele kæden af betingelser, der førte til et Exploit, rekonstrueres. De optræder også i Bug Bounty-rapporter, hvor White Hat-forskere angiver de præcise forudsætninger og transaktionsmønstre, der kræves for at udløse problemet. Over tid bliver tilbagevendende attack vectors, såsom dem der involverer Reentrancy eller forkert konfigurerede adgangskontroller, standardkategorier i sikkerhedstaksonomier og danner grundlag for best practices for protokoldesign og auditing.