Rust 智能合约养成日记（7）合约安全之访问控制

本文将从两个角度介绍Rust智能合约中的权限控制:

1. 合约方法（函数）访问/调用的可见性
2. 特权函数的访问控制/权责划分

1. 合约函数（方法）可见性

合约函数的可见性控制对于保护关键部分不被意外访问或操控至关重要。以Bancor Network交易所2020年6月18日的安全事件为例,该事件由于合约关键函数访问权限设置错误而导致。

在Rust智能合约中,函数可见性有以下几种:

• pub fn: 表示该方法为公开的,属于合约接口的一部分,可从合约外部调用。
• fn: 若未显式指明pub,则表示该函数无法从合约外部直接调用,只能在合约内部调用。
• pub(crate) fn: 将方法限制在crate内部范围内调用。

另一种将方法设为内部的方式是在未被#[near_bindgen]修饰的impl Contract代码块中定义。

对于回调函数,必须设置为public属性,但需要确保只能由合约自身调用。可以使用#[private]宏来实现这一点。

2. 特权函数的访问控制(白名单机制)

除了函数可见性,还需要从语义层面建立完整的访问控制白名单机制。某些特权函数(如合约初始化、开启/暂停等)只能由合约拥有者调用。

可以实现自定义Trait来进行访问控制,检查调用者是否为合约owner:

rust pub trait Ownable { fn assert_owner(&self) { assert_eq!(env::predecessor_account_id(), self.get_owner()); } fn get_owner(&self) -> AccountId; fn set_owner(&mut self, owner: AccountId); }

基于此原理,可以设置多位用户或多个白名单,实现更精细的分组访问控制。

3. 更多访问控制方法

其他Rust智能合约中的访问控制方法还包括:

• 合约的调用时机控制
• 合约函数的多签调用机制
• Governance(DAO)的实现

这些内容将在后续文章中详细介绍。