Rust 智能合约养成日记（7）合约安全之权限控制

本文将从两个角度介绍Rust智能合约中权限控制的相关内容：

1. 合约方法（函数）访问/调用的可见性
2. 特权函数的访问控制/权责划分

1. 合约函数（方法）可见性

在编写智能合约时，通过指定合约函数的可见性可以控制函数的调用权限。这对于保护合约中的关键部分不被意外访问或操控非常重要。

以Bancor Network交易所为例，2020年6月18日发生了一起由于合约关键函数访问控制权限设置错误导致的安全事件。该合约由Solidity语言编写，函数可见性分为public/external和private/internal两种。

Bancor在修改安全漏洞时，误将部分关键转账函数设置为public属性，导致任何人都可以从合约外部调用这些函数进行转账操作，使用户59万美元资产面临严重风险。

在Rust智能合约中，函数可见性控制同样重要。NEAR SDK定义的#[near_bindgen]宏修饰的合约函数有以下几种可见属性：

• pub fn: public函数，属于合约接口的一部分，可从合约外部调用。
• fn: 未指明pub的函数，只能在合约内部调用。
• pub(crate) fn: 限制在crate内部范围内调用。

另一种将方法设置为internal的方式是在未被#[near_bindgen]修饰的impl Contract代码块中定义。

对于回调函数，必须设置为public属性才能通过function call调用。同时需要确保回调函数只能由合约自身调用，可以使用#[private]宏实现。

2. 特权函数的访问控制(白名单机制)

除了函数可见性，还需要从语义层面建立完整的访问控制白名单机制。某些特权函数（如合约初始化、开启/暂停、统一转账等）只能由合约拥有者(owner)调用。

可以实现自定义Trait来控制特权函数的访问，检查交易调用者是否为合约owner：

rust pub trait Ownable { fn assert_owner(&self) { assert_eq!(env::predecessor_account_id(), self.get_owner()); } fn get_owner(&self) -> AccountId; fn set_owner(&mut self, owner: AccountId); }

基于此原理，可以通过自定义更复杂的trait在白名单中设置多位用户或多个白名单，实现精细的分组访问控制。

3. 更多访问控制方法

其他Rust智能合约中的访问控制方法还包括：

• 合约的调用时机控制
• 合约函数的多签调用机制
• Governance(DAO)的实现

这些内容将在后续的智能合约养成日记系列中详细介绍。