Definíció
A támadási vektor egy meghatározott útvonal, amelyen keresztül egy támadó jogosulatlan befolyást szerezhet egy rendszer integritása, rendelkezésre állása vagy bizalmassága felett. A blockchain (blockchain) és smart contract biztonság területén ez azt a konkrét mechanizmust, állapotot vagy interakciós mintát jelenti, amely kihasználható nem szándékolt viselkedés kiváltására vagy érték kinyerésére. A támadási vektorok eredhetnek protokolltervezési hibákból, implementációs tévedésekből, vagy olyan nem biztonságos feltételezésekből, amelyek külső komponensekre – például egy Oracle-re – vonatkoznak.
A rendszerben meglévő általános sérülékenységgel szemben – amely magát a gyengeséget jelenti – a támadási vektor azt írja le, hogy ezt a gyengeséget a gyakorlatban hogyan éri el és hogyan használja ki az ellenfél. Például egy Reentrancy feltétel egy smart contractban sérülékenység, míg az a hívássorozat és állapotváltozás, amely ezt kihasználhatóvá teszi, maga a támadási vektor. A biztonsági felülvizsgálatok, Bug Bounty programok és White Hat kutatások célja a támadási vektorok azonosítása és leírása, mielőtt azok éles Exploit formájában megjelennének.
Kontextus és használat
Fejlettebb kriptobiztonsági témákban a támadási vektor kifejezést arra használják, hogy kategorizálják és pontosan kommunikálják a potenciális kompromittálódás útvonalát az összetett, egymásra épülő rendszerekben. Leírhat alacsony szintű problémákat a smart contract logikában, szerződések közötti interakciókat, protokollszintű ösztönzési hibákat, vagy off-chain adatforrásoktól és infrastruktúrától való függőségeket. A támadási vektorok feltérképezése segít formalizálni egy protokoll fenyegetési modelljét, és tisztázza, hogy mely feltételezések – például egy Oracle megbízhatósága – a legkritikusabbak.
A támadási vektorokat gyakran incidensek utólagos elemzéseiben dokumentálják, ahol rekonstruálják az Exploit-hoz vezető feltételek teljes láncolatát. Megjelennek Bug Bounty jelentésekben is, ahol a White Hat kutatók pontosan meghatározzák azokat az előfeltételeket és tranzakciós mintákat, amelyek szükségesek a probléma kiváltásához. Idővel az ismétlődő támadási vektorok – például a Reentrancy-t vagy hibásan konfigurált hozzáférés-vezérlést érintők – a biztonsági taxonómiák standard kategóriáivá válnak, és iránymutatást adnak a protokolltervezés és auditálás bevált gyakorlataihoz.