La détection et la réponse gérées deviennent obligatoires sur les chaînes à faible coût et à haut débit : les attaquants peuvent répéter des exploits sur le mainnet à un coût quasi nul, apprendre de chaque retour en arrière, puis n'exécuter que lorsque le chemin du succès est garanti. Voici la partie que la plupart des protocoles manquent :

Cette forme d'attaque ne ressemble rarement à un "incident" au départ. Elle ressemble à un trafic normal : de petits appels, de petites valeurs, beaucoup d'échecs. La différence réside dans la séquence : répétition + variation + persistance à travers les blocs.

La surveillance basée sur l'impact se déclenche lorsque de l'argent circule. C'est la dernière étape. Le signal précédent est comportemental : balayages de paramètres à travers le même chemin d'appel, empreintes de retour qui évoluent, succès/retour alternés à mesure que les conditions d'acceptation sont cartographiées, un timing serré qui montre une pression d'ordre.