Definisi
Attack vector adalah jalur yang terdefinisi dengan jelas yang memungkinkan penyerang mendapatkan pengaruh tidak sah terhadap integritas, ketersediaan, atau kerahasiaan suatu sistem. Dalam konteks keamanan blockchain (blockchain) dan smart contract, istilah ini merujuk pada mekanisme, kondisi state, atau pola interaksi konkret yang dapat dieksploitasi untuk memicu perilaku yang tidak diinginkan atau mengekstrak nilai. Attack vector dapat muncul dari cacat desain protokol, kesalahan implementasi, atau asumsi yang tidak aman tentang komponen eksternal seperti sebuah Oracle.
Berbeda dengan kerentanan umum (vulnerability), yang merupakan kelemahan dalam sistem, attack vector menjelaskan bagaimana kelemahan tersebut secara praktis dapat dicapai dan dimanfaatkan oleh penyerang. Sebagai contoh, kondisi Reentrancy dalam sebuah smart contract adalah kerentanan, sementara urutan pemanggilan fungsi dan perubahan state yang membuatnya dapat dieksploitasi membentuk attack vector. Tinjauan keamanan, program Bug Bounty, dan riset White Hat berfokus pada identifikasi dan karakterisasi attack vector sebelum diubah menjadi Exploit yang aktif.
Konteks dan Penggunaan
Dalam diskusi keamanan kripto tingkat lanjut, istilah attack vector digunakan untuk mengkategorikan dan mengomunikasikan jalur spesifik potensi kompromi di dalam sistem yang kompleks dan dapat dikomposisi. Istilah ini dapat menggambarkan masalah level rendah dalam logika smart contract, interaksi lintas kontrak, kegagalan insentif di level protokol, atau ketergantungan pada sumber data dan infrastruktur off-chain. Pemetaan attack vector membantu memformalkan threat model suatu protokol dan memperjelas asumsi mana, seperti tingkat kepercayaan terhadap sebuah Oracle, yang paling kritis.
Attack vector sering didokumentasikan dalam post-mortem insiden, ketika seluruh rangkaian kondisi yang mengarah pada sebuah Exploit direkonstruksi. Attack vector juga muncul dalam pengungkapan Bug Bounty, ketika peneliti White Hat menjabarkan prasyarat dan pola transaksi yang tepat untuk memicu masalah tersebut. Seiring waktu, attack vector yang berulang, seperti yang melibatkan Reentrancy atau konfigurasi kontrol akses yang salah, menjadi kategori standar dalam taksonomi keamanan dan membentuk praktik terbaik untuk desain dan audit protokol.