Definicija
Vektor napada je jasno definiran kanal preko kojeg napadač može steći neovlašten utjecaj na cjelovitost, dostupnost ili povjerljivost sustava. U sigurnosti blockchaina (blockchain) i smart contracta, taj pojam označava konkretan mehanizam, stanje ili obrazac interakcije koji se može iskoristiti za pokretanje neželjenog ponašanja ili izvlačenje vrijednosti. Vektori napada mogu proizaći iz nedostataka u dizajnu protokola, grešaka u implementaciji ili nesigurnih pretpostavki o vanjskim komponentama, poput Oraclea.
Za razliku od opće ranjivosti, koja je slabost u sustavu, vektor napada opisuje kako se ta slabost u praksi doseže i iskorištava od strane napadača. Primjerice, Reentrancy uvjet u smart contractu je ranjivost, dok slijed poziva i promjena stanja koji je čine iskoristivom predstavlja vektor napada. Sigurnosne revizije, Bug Bounty programi i White Hat istraživanja usredotočeni su na prepoznavanje i opisivanje vektora napada prije nego što se pretvore u aktivni Exploit.
Kontekst i upotreba
U naprednim raspravama o kripto sigurnosti, izraz vektor napada koristi se za kategorizaciju i jasno komuniciranje preciznog puta mogućeg kompromitiranja unutar složenih, kompozabilnih sustava. Može opisivati niskorazinske probleme u logici smart contracta, interakcije između više contracta, neuspjehe poticaja na razini protokola ili ovisnosti o off-chain izvorima podataka i infrastrukturi. Mapiranje vektora napada pomaže formalizirati model prijetnji nekog protokola i razjasniti koje su pretpostavke, poput pouzdanosti Oraclea, najkritičnije.
Vektori napada često se dokumentiraju u post-mortem analizama incidenata, gdje se rekonstruira cijeli lanac uvjeta koji su doveli do Exploita. Pojavljuju se i u Bug Bounty objavama, gdje White Hat istraživači precizno navode preduvjete i obrasce transakcija potrebne za okidanje problema. S vremenom se ponavljajući vektori napada, poput onih koji uključuju Reentrancy ili pogrešno konfigurirane kontrole pristupa, pretvaraju u standardne kategorije u sigurnosnim taksonomijama i oblikuju najbolje prakse za dizajn i reviziju protokola.