Rust 智能合約養成日記（7）合約安全之權限控制

本文將從兩個角度介紹Rust智能合約中權限控制的相關內容：

1. 合約方法（函數）訪問/調用的可見性
2. 特權函數的訪問控制/權責劃分

1. 合約函數（方法）可見性

在編寫智能合約時，通過指定合約函數的可見性可以控制函數的調用權限。這對於保護合約中的關鍵部分不被意外訪問或操控非常重要。

以Bancor Network交易所爲例，2020年6月18日發生了一起由於合約關鍵函數訪問控制權限設置錯誤導致的安全事件。該合約由Solidity語言編寫，函數可見性分爲public/external和private/internal兩種。

Bancor在修改安全漏洞時，誤將部分關鍵轉帳函數設置爲public屬性，導致任何人都可以從合約外部調用這些函數進行轉帳操作，使用戶59萬美元資產面臨嚴重風險。

在Rust智能合約中，函數可見性控制同樣重要。NEAR SDK定義的#[near_bindgen]宏修飾的合約函數有以下幾種可見屬性：

• pub fn: public函數，屬於合約接口的一部分，可從合約外部調用。
• fn: 未指明pub的函數，只能在合約內部調用。
• pub(crate) fn: 限制在crate內部範圍內調用。

另一種將方法設置爲internal的方式是在未被#[near_bindgen]修飾的impl Contract代碼塊中定義。

對於回調函數，必須設置爲public屬性才能通過function call調用。同時需要確保回調函數只能由合約自身調用，可以使用#[private]宏實現。

2. 特權函數的訪問控制(白名單機制)

除了函數可見性，還需要從語義層面建立完整的訪問控制白名單機制。某些特權函數（如合約初始化、開啓/暫停、統一轉帳等）只能由合約擁有者(owner)調用。

可以實現自定義Trait來控制特權函數的訪問，檢查交易調用者是否爲合約owner：

rust pub trait Ownable { fn assert_owner(&self) { assert_eq!(env::predecessor_account_id(), self.get_owner()); } fn get_owner(&self) -> AccountId; fn set_owner(&mut self, owner: AccountId); }

基於此原理，可以通過自定義更復雜的trait在白名單中設置多位用戶或多個白名單，實現精細的分組訪問控制。

3. 更多訪問控制方法

其他Rust智能合約中的訪問控制方法還包括：

• 合約的調用時機控制
• 合約函數的多籤調用機制
• Governance(DAO)的實現

這些內容將在後續的智能合約養成日記系列中詳細介紹。