هذه الصفحة مُترجَمة آليًا بواسطة الذكاء الاصطناعي. النسخة الإنجليزية هي المرجع المعتمد.عرض النسخة الإنجليزية →
reference/program-addresses. البرنامج نشط على Immunefi منذ 25 أبريل 2023. تتدرج المدفوعات حسب الخطورة والتأثير الاقتصادي، وتصل إلى $505,000 في أعلى المستوى الحرج.
SDK والواجهات البرمجية REST والواجهة الأمامية (raydium.io) ليست جزءًا من المكافآت. المشاكل هناك لا تدفع، لكن التقارير لا تزال مرحب بها — انظر التقارير غير المدفوعة (SDK / API / الواجهة الأمامية) أدناه لمسار الاتصال.
هذه الصفحة هي المرجع الموثوق لما تغطيه المكافآت، وكيفية الإبلاغ، وما يمكن توقعه من عملية الاستجابة.
النطاق
ضمن نطاق المكافآت (مدفوع)
تنطبق المكافآت فقط على كود البرنامج المنشور على السلسلة:- البرامج المنشورة في معرّفات البرنامج في
reference/program-addresses:- AMM v4 (
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM (
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM (
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM (
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab (
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn (
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4 (
- أخطاء قابلية التركيب CPI للعقود الذكية حيث يؤدي الاستخدام الصحيح لبرنامج Raydium من قبل برنامج مركب إلى سوء سلوك برنامج Raydium نفسه.
خارج نطاق المكافآت (مرحب بالإبلاغ — انظر أدناه)
- Raydium SDK v2 (
@raydium-io/raydium-sdk-v2) على npm. - واجهات برمجية REST (كل مضيف مدرج في علامة API Reference —
api-v3.raydium.io,transaction-v1.raydium.io,launch-*-v1.raydium.io، إلخ). - الواجهة الأمامية (
raydium.io) — بما في ذلك XSS, CSRF, أخطاء تدفق المصادقة، انتحال المحفظة، حالات الواجهة المعطلة. - الفهارس خارج السلسلة، بوابات الصور / IPFS، وأي بنية تحتية أخرى تخدم البيانات في الواجهة الأمامية.
خارج النطاق (غير مؤهل على الإطلاق)
- برامج الطرف الثالث التي تتركب مع Raydium (أبلغ فريقهم).
- معدلات الطرف الثالث التي توجه عبر Raydium (مثل Jupiter).
- أدوات خارج السلسلة غير مدارة من قبل Raydium (SDKs المجتمع في Python، بوتات الطرف الثالث، إلخ).
- هجمات الهندسة الاجتماعية ضد أعضاء فريق Raydium.
- أي اكتشاف يتطلب تواطؤ من جانب المدقق أو هجمات الحصة الأغلبية (هذا على مستوى Solana، وليس هدف مكافآت DeFi).
- DoS عبر الإزعاج على نقاط نهاية RPC العامة.
- مخرجات أدوات المسح الآلي بدون إثبات مفهوم عملي.
- تبعيات AMM v4 / OpenBook — الأخطاء المتعلقة بتبعيات OpenBook ليست ضمن النطاق. تم تعيين AMM v4 إلى Status 6، لذا لم تعد السيولة مشتركة مع أسواق OpenBook.
- الاكتشافات المعلمة بالفعل في مراجعات الأمان السابقة غير مؤهلة: مراجعة Ottersec لـ CLMM، ومراجعات Kudelski و Ottersec و MadShield لبرنامج Hybrid AMM. إعادة الإبلاغ عن مشكلة مكشوفة بالفعل لا تدفع.
- فشل مطالبة العائد CLMM بالتصميم — يصدر CLMM رموز رسوم التداول والعائد الزراعي إلى LPs. إذا قام مهاجم بتصريف الخزان أو رموز الرسوم، فلن يتمكن المستخدمون من المطالبة بالعائد وستفشل المعاملات. هذا بالتصميم وليس يعتبر ثغرة أمنية.
منطقة رمادية — ناقش أولاً
- أخطاء في بدائل مقاومة MEV التي تتفاعل مع البنية التحتية الخارجية.
- حالات حدود تكامل Token-2022 حيث السلوك “الصحيح” غامض.
- هجمات اقتصادية / نظرية اللعبة التي لا تتطابق بشكل نظيف مع خطأ في الكود.
الخطورة والمكافآت
يتم تصنيف التقارير باستخدام نظام تصنيف الثغرات الأمنية Immunefi V2.3، تحت نموذج Primacy of Rules: الشروط على هذه الصفحة وقائمة Immunefi تحكم، وتأخذ الأولوية على التصنيف الافتراضي حيث تختلف. يتم تحديد المكافآت بالدولار الأمريكي وتدفع من قبل فريق Raydium في RAY أو SOL أو USDC. مستويات مكافآت العقود الذكية هي:| الخطورة | المكافأة |
|---|---|
| حرج | 10% من الأموال المتأثرة مباشرة، محدود بـ $505,000، مع حد أدنى $50,000 |
| عالي | $5,000–$40,000 |
| متوسط | $5,000 ثابت |
حساب المكافأة الحرجة
بالنسبة للأصول على الشبكة الرئيسية، المكافأة الحرجة هي 10% من الأموال المتأثرة مباشرة، حتى الحد الأقصى $505,000. إذا كان 10% من الأموال المعرضة للخطر أقل من $50,000، فإن التقرير لا يزال يدفع الحد الأدنى $50,000. الحد الأقصى وأساس 10%-من-الأموال-المعرضة-للخطر ينطبقان على التقارير الحرجة للعقود الذكية.التأثيرات ضمن النطاق
تستخدم المكافآت تصنيف التأثير الموحد من Immunefi. يتم إعطاء أمثلة خاصة بـ Raydium لتوضيح كيفية تعيين كل تأثير على البرامج. حرج- السرقة المباشرة لأي أموال المستخدم، سواء في الراحة أو أثناء الحركة، بخلاف العائد غير المطالب به — مثل تصريف أموال LP للمستخدم عبر تعليمات Raydium صحيحة، أو إصدار غير محدود لرموز LP.
- التجميد الدائم للأموال — مثل إفساد محاسبة المجموعة بحيث تصبح الأموال غير قابلة للاسترجاع بشكل دائم.
- الثغرات التي يمكن أن تجمد أموال المستخدم بشكل دائم، أو التي تصرف أو تسرق الأموال بدون موافقة معاملة المستخدم — مثل تجاوز سلطة ترقية البرنامج، أو خطأ في سرقة جميع رسوم البروتوكول.
- سرقة العائد غير المطالب به — مثل سرقة المكافآت المعلقة من المزارع أو مراكز CLMM.
- التجميد الدائم للعائد غير المطالب به.
- التجميد المؤقت للأموال لأي فترة زمنية — مثل تجميد مركز المستخدم بحيث لا يمكنهم إغلاقه عبر tx خبيث.
- الثغرات التي يمكن أن تجمد أموال المستخدم مؤقتًا أو تغير بشكل مقصود قيمة أموال المستخدم — مثل التلاعب برياضيات المجموعة أو تجاوز حماية الانزلاق.
- العقد الذكي غير قادر على العمل بسبب نقص رموز الأموال.
- حشو الكتلة للربح.
- الإزعاج (لا توجد دافع ربح للمهاجم، لكن ضرر للمستخدمين أو البروتوكول) — مثل DoS قابل للإزعاج حيث تعود جميع المبادلات على مجموعة.
- سرقة الغاز.
- استهلاك الغاز غير المحدود.
مسارات الاتصال
الأساسي: Immunefi
يتم إدراج برنامج مكافآت الأخطاء في Raydium على Immunefi. أبلغ عبر منصة Immunefi:- أنشئ حساب Immunefi.
- انتقل إلى صفحة مكافآت Raydium.
- قدم الاكتشاف مع PoC كامل. إثبات المفهوم مطلوب لجميع مستويات الخطورة — الشروحات والبيانات غير مقبولة، الكود العملي مطلوب. يجب أن تتضمن التقارير الحرجة والعالية أيضًا إصلاحًا مقترحًا.
- يتم التعامل مع التقارير بسرعة — متوسط وقت حل البرنامج حوالي يوم واحد.
بديل: إرسال البريد الإلكتروني
يمكن أيضًا تقديم الاكتشافات ضمن نطاق المكافآت عبر البريد الإلكتروني بدلاً من (أو بالإضافة إلى) Immunefi:security@raydium.iosecurity@reactorlabs.io
مباشر (للاكتشافات الحرجة والحساسة للوقت)
إذا كان الاكتشاف قيد الاستغلال النشط أو وشيك ولا يمكنك الانتظار لفحص Immunefi، فإن أسرع مسار ثانوي هو:- البريد الإلكتروني المباشر إلى
security@raydium.ioأوsecurity@reactorlabs.io— أسرع طريقة للوصول إلى الفريق مباشرة؛ علم سطر الموضوع كاستغلال نشط. - زر الطوارئ في Immunefi على صفحة المكافآت — يتصعد في دقائق خلال ساعات العمل.
- الاتصال المشفر عبر Immunefi — يمكن لـ Immunefi نقل رسالة مشفرة من طرف إلى طرف إلى فريق Raydium.
التقارير غير المدفوعة (SDK / API / الواجهة الأمامية)
بالنسبة للمشاكل في المكونات خارج المكافآت — SDK، واجهات برمجية REST، واجهةraydium.io الأمامية، أو أي بنية تحتية خارج السلسلة — لا يوجد دفع، لكن الفريق لا يزال يريد سماعها. استخدم:
- البريد الإلكتروني:
security@raydium.ioأوsecurity@reactorlabs.ioلأي شيء له آثار أمنية (XSS, CSRF, تسريبات تدفق المصادقة، إعادة تشغيل الرسائل الموقعة، انتحال المحفظة، البيانات الحساسة المكشوفة بواسطة API، إلخ). قم بالتشفير باستخدام مفتاح PGP للفريق إذا كان الخطأ حساسًا؛ اطلب في البريد الإلكتروني وسيقوم الفريق بتبديل المفاتيح. - مشاكل GitHub: للأخطاء الوظيفية غير الأمنية في SDK أو المستندات أو أي مستودع مفتوح المصدر يدارها Raydium. افتح مشكلة على المستودع ذي الصلة (مثل
raydium-io/raydium-sdk-V2). - Discord (
discord.gg/raydium): جيد لتعليقات الواجهة الأمامية / تجربة المستخدم منخفضة التأثير التي لا تلمس الأمان. لا تنشر أي شيء يمكن أن يمكّن استغلالاً إذا قرأه غريب.
- الإقرار في الرد خلال بضعة أيام عمل.
- التنسيق عبر المستودعات إذا امتد الإصلاح عبر البرنامج و SDK.
- الائتمان العام (بموافقتك) في سجل التغييرات أو ملاحظات الإصدار ذات الصلة.
- المبلغون المتكررون عن الاكتشافات الموضوعية يتم دعوتهم أحيانًا إلى برنامج المساهم؛ هذا المسار منفصل عن المكافآت على السلسلة ويتم تقديمه على أساس تقديري.
- دفع متدرج، بغض النظر عن الخطورة. المكافآت مخصصة لاكتشافات كود البرنامج.
- التغطية بموجب سياسة الملاذ الآمن أدناه — تشير هذه السياسة تحديدًا إلى البحث ضمن نطاق المكافآت. لاختبار SDK / API / الواجهة الأمامية، اتبع اتفاقيات الإفصاح المسؤول العادية وشروط الخدمة القياسية.
قواعد الاشتباك
افعل
- اختبر فقط مقابل نسخة محلية من الشبكة الرئيسية أو testnet العام. يجب إجراء جميع أعمال إثبات المفهوم على نسخة محلية.
- قم بتضمين PoC عملي في التقرير (مطلوب لجميع مستويات الخطورة).
- قدّر التأثير الاقتصادي بأفضل ما تستطيع.
- اقترح إصلاحًا — مطلوب للتقارير الحرجة والعالية.
لا تفعل
- اختبر على الشبكة الرئيسية أو كود testnet المنشور. أي اختبار من هذا القبيل محظور؛ استخدم النسخ المحلية فقط.
- اختبر مع أوراكل التسعير أو العقود الذكية للطرف الثالث، أو مع أنظمة الطرف الثالث أو التطبيقات أو امتدادات المتصفح أو المواقع الإلكترونية.
- الإفصاح العام عن الثغرة قبل نشر إصلاح (الإفصاح العام عن خطأ غير مصحح في مكافآت محظورة محظور).
- قم بتشغيل الاختبار الآلي الذي ينتج حركة مرور كبيرة، أو أي هجوم حرمان من الخدمة ضد أصول المشروع.
- محاولة التصيد أو الهندسة الاجتماعية الأخرى ضد أعضاء فريق Raydium أو المستخدمين.
- قدم نفس الاكتشاف عبر أكثر من قناة واحدة في نفس الوقت — اختر Immunefi أو البريد الإلكتروني، وليس كليهما، وليس أبدًا عبر رسائل DM العامة.
الجدول الزمني للاستجابة
متوسط وقت حل البرنامج حوالي يوم واحد (وفقًا لقائمة Immunefi العامة). المراحل أدناه توضيحية لكيفية تقدم التقرير؛ اتفاقيات مستوى الخدمة الدقيقة تحكمها قائمة Immunefi وعملية الفحص، وليس هذه الصفحة:| المرحلة | الوقت التوضيحي |
|---|---|
| الفحص الأولي | ~يوم واحد (متوسط) |
| تصنيف الخطورة | بضعة أيام عمل |
| تطوير الإصلاح | يعتمد على الخطورة + التعقيد |
| نشر الإصلاح | يخضع لـ timelock برنامج على السلسلة |
ما لا يجب الإفصاح عنه علنًا
حتى يتم نشر إصلاح وقام فريق Raydium بتنسيق الإفصاح معك:- لا تغرد عن الاكتشاف (حتى غامضة “وجدت شيئًا كبيرًا”).
- لا تصف فئة الخطأ لأطراف ثالثة.
- لا تشارك كود PoC مع أي شخص خارج فريق فحص Raydium.
- المقالات العامة مرحب بها ومشجعة.
- سيقوم Raydium بالترويج المتبادل للمقالات الموضوعية.
- يتم إعطاء الباحثين الذين يوافقون على تسميتهم الفضل على قاعة Immunefi Whitehat للشهرة.
سياسة الملاذ الآمن
البحث الذي يتم إجراؤه ضمن النطاق والقواعس أعلاه مصرح به بشكل صريح. Raydium:- لن تتابع إجراءات قانونية للبحث بحسن نية يتبع هذه السياسة.
- لن تتدخل في أنشطة البحث (مثل إدراج محافظ الباحثين في القائمة السوداء).
- ستتعاون على فهم الاكتشاف.
الإفصاحات الملحوظة السابقة
إحصائيات مجمعة لـ مكافآت كود البرنامج، التي كانت نشطة على Immunefi منذ 25 أبريل 2023 (الأرقام وفقًا لقائمة Immunefi العامة):- إجمالي المكافآت المدفوعة حتى الآن: ~$3.4M.
- متوسط وقت الحل: ~يوم واحد.
البرامج ذات الصلة
- برنامج مكافآت أخطاء Solana Foundation — يغطي أخطاء عميل مدقق Solana (sealevel, consensus). أبلغ هناك عن مشاكل على مستوى Solana. solana.com/security.
- برنامج مكافآت أخطاء Squads Protocol — يغطي multisig نفسه. squads.so/security.
- Immunefi — يغطي العديد من بروتوكولات DeFi بما في ذلك Raydium. immunefi.com.
مؤشرات
security/audits— سجل التدقيق السابق.security/admin-and-multisig— هيكل السلطة.security/attack-vectors— فئات الهجوم المعروفة.
- صفحة مكافآت Raydium على Immunefi — النطاق الموثوق، شروط الدفع، ومسار الاتصال.

