Definícia
Vektor útoku je presne určená cesta, cez ktorú môže útočník získať neoprávnený vplyv na integritu, dostupnosť alebo dôvernosť systému. V kontexte bezpečnosti blockchainu (blockchain) a smart kontraktov označuje konkrétny mechanizmus, stav alebo vzor interakcie, ktorý možno zneužiť na vyvolanie nežiaduceho správania alebo odčerpanie hodnoty. Vektory útoku môžu vzniknúť z chýb v návrhu protokolu, implementačných chýb alebo z nebezpečných predpokladov o externých komponentoch, ako je napríklad Oracle.
Na rozdiel od všeobecnej zraniteľnosti, ktorá je slabým miestom v systéme, vektor útoku opisuje, ako sa k tejto slabine útočník v praxi dostane a ako ju využije. Napríklad podmienka Reentrancy v smart kontrakte je zraniteľnosť, zatiaľ čo sled volaní a zmien stavu, ktoré ju robia zneužiteľnou, tvorí vektor útoku. Bezpečnostné revízie, Bug Bounty programy a výskum White Hat sa zameriavajú na identifikáciu a popis vektorov útoku ešte predtým, než sa z nich stane reálny Exploit.
Kontext a použitie
V pokročilých diskusiách o krypto bezpečnosti sa pojem vektor útoku používa na kategorizáciu a presné opísanie možnej cesty kompromitácie v rámci komplexných, komponovateľných systémov. Môže označovať nízkoúrovňové problémy v logike smart kontraktu, interakcie medzi kontraktmi, zlyhania incentív na úrovni protokolu alebo závislosti od off-chain dátových zdrojov a infraštruktúry. Mapovanie vektorov útoku pomáha formalizovať hrozbový model protokolu a objasniť, ktoré predpoklady – napríklad dôveryhodnosť Oracle – sú najkritickejšie.
Vektory útoku sa často dokumentujú v post-mortem analýzach incidentov, kde sa rekonštruuje celý reťazec podmienok vedúcich k Exploitu. Objavujú sa aj v Bug Bounty zverejneniach, kde výskumníci White Hat presne špecifikujú predpoklady a vzory transakcií potrebné na vyvolanie problému. Postupom času sa opakujúce vektory útoku, napríklad tie, ktoré zahŕňajú Reentrancy alebo zle nakonfigurované prístupové práva, stávajú štandardnými kategóriami v bezpečnostných taxonómiách a formujú osvedčené postupy pri návrhu a audite protokolov.