Definicija
Attack vector je jasno definisan kanal preko koga napadač može da stekne neovlašćen uticaj na integritet, dostupnost ili poverljivost sistema. U kontekstu bezbednosti blokčejna (blockchain) i smart contract-a, odnosi se na konkretan mehanizam, stanje ili obrazac interakcije koji se može iskoristiti da bi se pokrenulo neželjeno ponašanje ili izvukla vrednost. Attack vector-i mogu nastati zbog grešaka u dizajnu protokola, grešaka u implementaciji ili zbog nesigurnih pretpostavki o spoljnim komponentama kao što je Oracle.
Za razliku od opšte ranjivosti, koja predstavlja slabost u sistemu, attack vector opisuje kako se do te slabosti praktično dolazi i kako je napadač koristi. Na primer, Reentrancy uslov u smart contract-u je ranjivost, dok niz poziva i promena stanja koji omogućavaju da se ta ranjivost iskoristi čine attack vector. Bezbednosne provere, Bug Bounty programi i White Hat istraživanja fokusiraju se na identifikovanje i opisivanje attack vector-a pre nego što se pretvore u aktivan Exploit.
Kontekst i upotreba
U naprednim diskusijama o kripto bezbednosti, termin attack vector koristi se za kategorizaciju i jasno opisivanje preciznog puta potencijalnog kompromitovanja unutar složenih, kompozabilnih sistema. Može da označava niskonivojske probleme u logici smart contract-a, interakcije između više contract-a, neuspehe u podsticajima na nivou protokola ili zavisnosti od off-chain izvora podataka i infrastrukture. Mapiranje attack vector-a pomaže u formalizovanju modela pretnji nekog protokola i razjašnjava koje su pretpostavke, poput pouzdanosti Oracle-a, najkritičnije.
Attack vector-i se često dokumentuju u post-mortem analizama incidenata, gde se rekonstruiše ceo lanac uslova koji su doveli do Exploit-a. Pojavljuju se i u Bug Bounty izveštajima, gde White Hat istraživači precizno navode potrebne preuslove i obrasce transakcija koji su neophodni da bi se problem aktivirao. Vremenom, ponavljajući attack vector-i, kao što su oni koji uključuju Reentrancy ili pogrešno podešene kontrole pristupa, postaju standardne kategorije u bezbednosnim taksonomijama i utiču na najbolje prakse za dizajn i reviziju protokola.