Rust 智能合约养成日记（7）合约安全之权限控制

本文将从两个方面介绍Rust智能合约中权限控制的相关内容：

1. 合约方法（函数）访问/调用的可见性
2. 特权函数的访问控制/权责划分

1. 合约函数（方法）可见性

在编写智能合约时，通过指定合约函数的可见性可以控制函数的调用权限，从而保护合约中的关键部分不被意外访问或操控。

以Bancor Network交易所为例，2020年6月18日曾发生一起由于合约关键函数访问控制权限设置错误导致的安全事件。该合约由Solidity语言编写，合约函数的可见性分为public/external和private/internal两种。前者允许合约函数被外部调用者调用，可视为合约接口的一部分。

Bancor Network在修改某一安全漏洞时，误将合约中部分关键转账函数设置为了public属性，导致任何人都可以从合约外部调用这些函数进行转账操作。这个漏洞使用户的59万美元资产面临严重风险。

在Rust智能合约中，也必须重视合约函数的可见性控制。NEAR SDK定义的宏#[near_bindgen]可用于修饰Rust智能合约函数，存在以下几种不同的可见属性:

• pub fn: 表示该合约方法为public，属于合约接口的一部分，任何人都可以从合约外部调用。
• fn: 若未显式指明pub，则表示无法从合约外部直接调用该函数，只能在合约中由其他函数内部调用。
• pub(crate) fn: 相当于pub(in crate)，类似于fn，将合约方法限制在crate内部范围内被调用。

另一种将合约方法设置为internal的方式是在合约中定义一个独立的impl Contract代码块，该implementation不被#[near_bindgen]修饰。

对于回调（Callbacks）函数，其定义必须设置为public属性，但同时需要确保只能由合约自身调用。NEAR SDK提供了#[private]宏来实现这一功能。

值得注意的是，Rust语言中默认所有内容都是private的，除了pub Trait中的子项目和pub Enum中的Enum变量默认为public。

2. 特权函数的访问控制（白名单机制）

除了函数可见性，还需要从合约语义层面建立完整的访问控制白名单机制。某些特权函数，如合约初始化、开启/暂停、统一转账等，通常只能由合约拥有者（owner）调用。

这些特权函数必须设置为public属性才能被外部调用，但同时需要定义访问控制规则，确保只有满足条件的用户才能完整执行。

在Rust智能合约中，可以实现类似Solidity的modifier功能，通过自定义Trait来实现对特权函数的访问控制：

rust pub trait Ownable { fn assert_owner(&self) { assert_eq!(env::predecessor_account_id(), self.get_owner()); } fn get_owner(&self) -> AccountId; fn set_owner(&mut self, owner: AccountId); }

使用这个trait可以实现对合约中特权函数的访问控制，要求交易调用者必须是合约的owner。基于此原理，可以通过自定义更复杂的modifier或trait来设置多位用户或多个白名单，实现精细的分组访问控制。

3. 更多访问控制方法

除了上述方法，Rust智能合约中还有其他访问控制方法，如合约调用时机控制、合约函数的多签调用机制、治理（DAO）的实现等。这些内容将在本系列智能合约养成日记的后续文章中详细介绍。