Definīcija
Uzbrukuma vektors ir skaidri definēts ceļš, pa kuru uzbrucējs var iegūt nesankcionētu ietekmi uz sistēmas integritāti, pieejamību vai konfidencialitāti. Blockchain (blockchain) un smart contract drošības kontekstā tas attiecas uz konkrētu mehānismu, stāvokli vai mijiedarbības modeli, ko var izmantot, lai izraisītu neparedzētu sistēmas uzvedību vai izvilktu vērtību. Uzbrukuma vektori var rasties protokola dizaina kļūdu, ieviešanas kļūdu vai nedrošu pieņēmumu dēļ par ārējiem komponentiem, piemēram, Oracle.
Atšķirībā no vispārīgas ievainojamības, kas ir sistēmas vājā vieta, uzbrukuma vektors apraksta, kā šī vājā vieta praktiski tiek sasniegta un izmantota pretinieka interesēs. Piemēram, Reentrancy nosacījums smart contract kodā ir ievainojamība, savukārt zvanu un stāvokļa izmaiņu secība, kas padara to izmantojamu, veido uzbrukuma vektoru. Drošības pārbaudes, Bug Bounty programmas un White Hat pētījumi koncentrējas uz uzbrukuma vektoru identificēšanu un raksturošanu, pirms tie tiek pārvērsti par reālu Exploit.
Konteksts un lietojums
Padziļinātās kripto drošības diskusijās termins “uzbrukuma vektors” tiek lietots, lai kategorizētu un precīzi aprakstītu iespējamo kompromitēšanas ceļu sarežģītās, savietojamās sistēmās. Tas var raksturot zema līmeņa problēmas smart contract loģikā, mijiedarbību starp dažādiem smart contract, protokola līmeņa stimulu kļūmes vai atkarības no off-chain datu avotiem un infrastruktūras. Uzbrukuma vektoru kartēšana palīdz formalizēt protokola draudu modeli un precizēt, kuri pieņēmumi, piemēram, Oracle uzticamība, ir kritiskākie.
Uzbrukuma vektori bieži tiek dokumentēti incidentu post-mortem analīzēs, kur tiek atjaunota pilna nosacījumu ķēde, kas noveda pie Exploit. Tie parādās arī Bug Bounty atklāsmēs, kur White Hat pētnieki precīzi norāda nepieciešamos priekšnosacījumus un transakciju modeļus, lai izraisītu problēmu. Laika gaitā atkārtoti novēroti uzbrukuma vektori, piemēram, tie, kas saistīti ar Reentrancy vai nepareizi konfigurētām piekļuves kontroles sistēmām, kļūst par standarta kategorijām drošības taksonomijās un palīdz veidot labāko praksi protokolu dizainā un auditēšanā.