Если смарт-контракт имеет недостаточный контроль доступа к критическим функциям, злоумышленник может выполнить операции, которые не следует разрешать, например изменение состояния контракта или вывод средств.
Предположим, у нас есть смарт-контракт,Для пополнения и снятия средств управляют пользователи. В этом примере,Контракт не ограничивает должным образом тех, кто может звонитьwithdraw
функция。
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract SimpleBank {
mapping(address => uint256) public balances;
function deposit() public payable {
balances[msg.sender] += msg.value;
}
// Отсутствие контроля доступа, эту функцию может вызвать любой желающий
function withdraw(uint256 amount) public {
require(balances[msg.sender] >= amount, "Insufficient balance");
payable(msg.sender).transfer(amount);
balances[msg.sender] -= amount;
}
}
в этом контракте,withdraw
функция Можно позвонить напрямую с любого адреса,Пока адрес имеет достаточный баланс. но,Если в договоре есть логические ошибки или запутанный статус,Это может привести к незаконному выводу средств.
Злоумышленник может позвонитьwithdraw
функция,Даже если им не хватает баланса,Также возможен успешный вывод средств из-за ошибок в определенных состояниях контракта. например,Если где-то в контракте ошибочно увеличивается баланс атакующего,Злоумышленники могут воспользоваться этим для вывода средств, которые им не принадлежат.
Для решения проблемы несанкционированного доступа,Нам нужно добавить модификатор доступа перед функцией.,Убедитесь, что звонить могут только определенные роли или адреса.withdraw
функция。Здесь мы используем простойonlyOwner
Модификатор для ограничения звонков владельцу контракта。
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract SecureBank {
address private owner;
mapping(address => uint256) public balances;
constructor() {
owner = msg.sender;
}
modifier onlyOwner() {
require(msg.sender == owner, "Only the contract owner can call this function");
_;
}
function deposit() public payable {
balances[msg.sender] += msg.value;
}
// Ограничьте вызовы владельцам с помощью модификатора onlyOwner.
function withdraw(uint256 amount) public onlyOwner {
require(balances[msg.sender] >= amount, "Insufficient balance");
payable(msg.sender).transfer(amount);
balances[msg.sender] -= amount;
}
}
Сейчас,Только создатель контракта(Прямо сейчасowner
)Можно позвонитьwithdraw
функция。Это предотвращает непосредственный вывод средств неавторизованными пользователями.,Улучшена безопасность контрактов.
Уведомление,Этого простого механизма контроля доступа может быть недостаточно для решения сложных сценариев.,Вам могут потребоваться более сложные роли и разрешения системы.,Например, используйтеOpenZeppelin
изOwnable
иAccessControl
библиотека, обеспечивающая более детальнуюизконтроль доступа。