Rust 智能合約養成日記（7）合約安全之權限控制

本文將從兩個方面介紹Rust智能合約中權限控制的相關內容：

1. 合約方法（函數）訪問/調用的可見性
2. 特權函數的訪問控制/權責劃分

1. 合約函數（方法）可見性

在編寫智能合約時，通過指定合約函數的可見性可以控制函數的調用權限，從而保護合約中的關鍵部分不被意外訪問或操控。

以Bancor Network交易所爲例，2020年6月18日曾發生一起由於合約關鍵函數訪問控制權限設置錯誤導致的安全事件。該合約由Solidity語言編寫，合約函數的可見性分爲public/external和private/internal兩種。前者允許合約函數被外部調用者調用，可視爲合約接口的一部分。

Bancor Network在修改某一安全漏洞時，誤將合約中部分關鍵轉帳函數設置爲了public屬性，導致任何人都可以從合約外部調用這些函數進行轉帳操作。這個漏洞使用戶的59萬美元資產面臨嚴重風險。

在Rust智能合約中，也必須重視合約函數的可見性控制。NEAR SDK定義的宏#[near_bindgen]可用於修飾Rust智能合約函數，存在以下幾種不同的可見屬性:

• pub fn: 表示該合約方法爲public，屬於合約接口的一部分，任何人都可以從合約外部調用。
• fn: 若未顯式指明pub，則表示無法從合約外部直接調用該函數，只能在合約中由其他函數內部調用。
• pub(crate) fn: 相當於pub(in crate)，類似於fn，將合約方法限制在crate內部範圍內被調用。

另一種將合約方法設置爲internal的方式是在合約中定義一個獨立的impl Contract代碼塊，該implementation不被#[near_bindgen]修飾。

對於回調（Callbacks）函數，其定義必須設置爲public屬性，但同時需要確保只能由合約自身調用。NEAR SDK提供了#[private]宏來實現這一功能。

值得注意的是，Rust語言中默認所有內容都是private的，除了pub Trait中的子項目和pub Enum中的Enum變量默認爲public。

2. 特權函數的訪問控制（白名單機制）

除了函數可見性，還需要從合約語義層面建立完整的訪問控制白名單機制。某些特權函數，如合約初始化、開啓/暫停、統一轉帳等，通常只能由合約擁有者（owner）調用。

這些特權函數必須設置爲public屬性才能被外部調用，但同時需要定義訪問控制規則，確保只有滿足條件的用戶才能完整執行。

在Rust智能合約中，可以實現類似Solidity的modifier功能，通過自定義Trait來實現對特權函數的訪問控制：

rust pub trait Ownable { fn assert_owner(&self) { assert_eq!(env::predecessor_account_id(), self.get_owner()); } fn get_owner(&self) -> AccountId; fn set_owner(&mut self, owner: AccountId); }

使用這個trait可以實現對合約中特權函數的訪問控制，要求交易調用者必須是合約的owner。基於此原理，可以通過自定義更復雜的modifier或trait來設置多位用戶或多個白名單，實現精細的分組訪問控制。

3. 更多訪問控制方法

除了上述方法，Rust智能合約中還有其他訪問控制方法，如合約調用時機控制、合約函數的多籤調用機制、治理（DAO）的實現等。這些內容將在本系列智能合約養成日記的後續文章中詳細介紹。