未授權訪問：

如果智能合約對關鍵函數的訪問控制不足，攻擊者可能執行不應允許的操作，如修改合約狀態或提取資金。

未授權訪問示例

假設我們有一個智能合約，用于管理用戶的存款和提款。在這個例子中，合約沒有正確地限制誰可以調用withdraw函數。

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;contract SimpleBank {mapping(address => uint256) public balances;function deposit() public payable {balances[msg.sender] += msg.value;}// 缺乏訪問控制，任何人都可以調用這個函數function withdraw(uint256 amount) public {require(balances[msg.sender] >= amount, "Insufficient balance");payable(msg.sender).transfer(amount);balances[msg.sender] -= amount;}
}

在這個合約中，withdraw函數可以直接被任何地址調用，只要該地址有足夠余額即可。但是，如果合約中存在一些邏輯錯誤或者狀態混亂，這可能導致資金被非法提取。

攻擊者行為

攻擊者可以通過調用withdraw函數，即使他們沒有足夠的余額，也可能因為某些合約狀態的錯誤而成功提取資金。比如，如果合約中的某個地方錯誤地增加了攻擊者的余額，攻擊者就可以利用這一點來提取不屬于他們的資金。

解決方案

為了解決未授權訪問的問題，我們需要在函數前添加訪問修飾符，確保只有特定的角色或地址可以調用withdraw函數。這里我們使用一個簡單的onlyOwner修飾符來限制對合約所有者的調用。

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;contract SecureBank {address private owner;mapping(address => uint256) public balances;constructor() {owner = msg.sender;}modifier onlyOwner() {require(msg.sender == owner, "Only the contract owner can call this function");_;}function deposit() public payable {balances[msg.sender] += msg.value;}// 使用onlyOwner修飾符限制對所有者的調用function withdraw(uint256 amount) public onlyOwner {require(balances[msg.sender] >= amount, "Insufficient balance");payable(msg.sender).transfer(amount);balances[msg.sender] -= amount;}
}

現在，只有合約的創建者（即owner）可以調用withdraw函數。這防止了未授權的用戶直接提取資金，提高了合約的安全性。
注意，這種簡單的訪問控制機制可能不足以應對復雜的場景，你可能需要更復雜的角色和權限系統，比如使用OpenZeppelin的Ownable和AccessControl庫來提供更細粒度的訪問控制。