Apibrėžimas
Atakos vektorius yra aiškiai apibrėžtas kelias, kuriuo užpuolikas gali įgyti neteisėtą įtaką sistemos vientisumui, pasiekiamumui ar konfidencialumui. Blockchain (blockchain) ir smart contract saugumo kontekste tai reiškia konkretų mechanizmą, būseną ar sąveikos modelį, kurį galima išnaudoti netikėtam elgesiui sukelti arba vertei išgauti. Atakos vektoriai gali atsirasti dėl protokolo dizaino trūkumų, įgyvendinimo klaidų arba nesaugių prielaidų apie išorinius komponentus, pavyzdžiui, Oracle.
Skirtingai nei bendra pažeidžiamumo sąvoka, kuri apibūdina sistemos silpnybę, atakos vektorius nusako, kaip ši silpnybė praktiškai pasiekiama ir išnaudojama priešininko. Pavyzdžiui, Reentrancy sąlyga smart contract kode yra pažeidžiamumas, o kvietimų ir būsenos pokyčių seka, kuri leidžia ją išnaudoti, sudaro atakos vektorių. Saugumo peržiūros, Bug Bounty programos ir White Hat tyrimai yra skirti identifikuoti ir apibūdinti atakos vektorius dar prieš jiems tampant aktyviu Exploit.
Kontekstas ir vartosena
Pažangiose kripto saugumo diskusijose terminas „atakos vektorius“ naudojamas tam, kad būtų galima suskirstyti ir aiškiai perteikti konkretų galimo kompromitavimo kelią sudėtingose, kompozicinėse sistemose. Jis gali apibūdinti žemo lygio problemas smart contract logikoje, sąveikas tarp skirtingų kontraktų, protokolo lygmens paskatų nesėkmes arba priklausomybę nuo off-chain duomenų šaltinių ir infrastruktūros. Atakos vektorių žemėlapio sudarymas padeda formalizuoti protokolo grėsmių modelį ir išsiaiškinti, kurios prielaidos, pavyzdžiui, Oracle patikimumas, yra kritiškiausios.
Atakos vektoriai dažnai dokumentuojami incidentų post-mortem analizėse, kuriose atsekama visa sąlygų grandinė, lėmusi Exploit. Jie taip pat aprašomi Bug Bounty atskleidimuose, kuriuose White Hat tyrėjai tiksliai nurodo būtinas išankstines sąlygas ir transakcijų modelius, reikalingus problemai sukelti. Ilgainiui pasikartojantys atakos vektoriai, pavyzdžiui, susiję su Reentrancy ar neteisingai sukonfigūruotomis prieigos kontrolėmis, tampa standartinėmis kategorijomis saugumo taksonomijose ir formuoja gerąsias praktikas protokolų kūrimui ir auditavimui.