Opredelitev
Vektor napada je jasno določena pot, prek katere lahko napadalec pridobi nepooblaščen vpliv na celovitost, razpoložljivost ali zaupnost sistema. V varnosti verig blokov (blockchain) in pametnih pogodb se nanaša na konkreten mehanizem, stanje ali vzorec interakcije, ki ga je mogoče izkoristiti za sprožitev neželenega vedenja ali pridobivanje vrednosti. Vektorji napada se lahko pojavijo zaradi napak v zasnovi protokola, napak pri implementaciji ali nevarnih predpostavk o zunanjih komponentah, kot je Oracle.
Za razliko od splošne ranljivosti, ki je šibka točka v sistemu, vektor napada opisuje, kako napadalec to šibkost v praksi doseže in jo izkoristi. Na primer, pogoj za Reentrancy v pametni pogodbi je ranljivost, medtem ko zaporedje klicev in sprememb stanja, ki omogočijo njen izkoristek, predstavlja vektor napada. Varnostni pregledi, Bug Bounty programi in raziskave White Hat so osredotočeni na prepoznavanje in opisovanje vektorjev napada, še preden se spremenijo v dejanski Exploit.
Kontekst in uporaba
V naprednih razpravah o kripto varnosti se izraz vektor napada uporablja za kategorizacijo in jasno komunikacijo natančne poti potencialne kompromitacije znotraj kompleksnih, sestavljivih sistemov. Lahko opisuje nizkonivojske težave v logiki pametnih pogodb, interakcije med pogodbami, spodrsljaje v spodbudah na ravni protokola ali odvisnosti od zunajverižnih (off-chain) virov podatkov in infrastrukture. Kartiranje vektorjev napada pomaga formalizirati model groženj protokola in pojasniti, katere predpostavke, kot je zanesljivost Oracle, so najbolj kritične.
Vektorji napada so pogosto dokumentirani v poročilih po incidentih (post-mortem), kjer je rekonstruirana celotna veriga pogojev, ki je privedla do Exploit. Pojavljajo se tudi v razkritjih v okviru Bug Bounty programov, kjer raziskovalci White Hat natančno navedejo potrebne predpogoje in vzorce transakcij za sprožitev težave. Sčasoma se ponavljajoči vektorji napada, na primer tisti, ki vključujejo Reentrancy ali napačno konfigurirane kontrolne mehanizme dostopa, uveljavijo kot standardne kategorije v varnostnih taksonomijah in usmerjajo dobre prakse pri zasnovi in reviziji protokolov.