Rust 智能合約養成日記（7）合約安全之權限控制

本文將從兩個角度介紹Rust智能合約中權限控制的相關內容：

1. 合約方法（函數）訪問/調用的可見性
2. 特權函數的訪問控制/權責劃分

1. 合約函數（方法）可見性

在編寫智能合約時，通過指定合約函數的可見性可以控制函數的調用權限,從而保護合約中的關鍵部分不被意外訪問或操控。

以Bancor Network交易所爲例,該交易所曾在2020年6月18日發生一起由於合約關鍵函數訪問控制權限設置錯誤導致的資產安全事件。該合約由Solidity語言編寫,合約函數的可見性分爲public/external和private/internal兩種。前者允許合約函數被外部調用者調用,可視爲合約接口的一部分。

Bancor Network在修改某一安全漏洞時,誤將合約中部分關鍵轉帳函數設置爲了public屬性,導致任何人都可以從合約外部調用這些函數進行轉帳操作。這個關鍵漏洞使其用戶的59萬美元資產面臨嚴重風險。

在Rust智能合約中同樣需要重視合約函數的可見性控制。NEAR SDK定義的#[near_bindgen]宏可用於修飾Rust智能合約函數,存在如下幾種不同的可見屬性:

• pub fn: 表示該方法爲public,屬於合約接口的一部分,可被外部調用。
• fn: 未顯式指明pub,表示無法從合約外部直接調用,只能在合約內部調用。
• pub(crate) fn: 將方法限制在crate內部範圍內被調用。

另一種將合約方法設置爲internal的方式是在合約中定義一個未被#[near_bindgen]修飾的獨立impl Contract代碼塊。

對於回調(Callbacks)函數,定義時必須設置爲public屬性才能通過function call調用。同時需要確保回調函數不能被他人隨意調用,即調用者必須是合約自身。NEAR SDK提供了#[private]宏來實現這一功能。

需要注意的是,Rust語言中默認所有內容都是private的,除了pub Trait中的子項目和pub Enum中的Enum變量默認爲public。

2. 特權函數的訪問控制(白名單機制)

除了函數可見性,還需要從合約語義層面建立完整的訪問控制白名單機制。某些特權函數(如合約初始化、開啓/暫停、統一轉帳等)只能由合約擁有者(owner)調用,這些函數通常被稱爲"only owner"函數。

雖然這些關鍵函數必須設置爲public屬性才能被外部調用,但可以爲其定義訪問控制規則,只有滿足相應規則才能完整執行。例如,可以實現如下自定義Trait:

rust pub trait Ownable { fn assert_owner(&self) { assert_eq!(env::predecessor_account_id(), self.get_owner()); } fn get_owner(&self) -> AccountId; fn set_owner(&mut self, owner: AccountId); }

利用該trait可以實現對合約中特權函數的訪問控制,要求調用者必須是合約的owner。基於此原理,可以通過自定義更復雜的modifier或trait來設置多位用戶或多個白名單,實現精細的分組訪問控制。