الانتقال إلى المحتوى الرئيسي

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

هذه الصفحة مُترجَمة آليًا بواسطة الذكاء الاصطناعي. النسخة الإنجليزية هي المرجع المعتمد.عرض النسخة الإنجليزية →
يدير Raydium برنامج مكافآت أخطاء نشط يغطي كود البرنامج على السلسلة فقط — عقود Solana الذكية في معرفات البرامج المدرجة في reference/program-addresses. تتدرج المدفوعات مع الخطورة والتأثير الاقتصادي، وتصل إلى $500,000 في الجزء الأعلى من المستوى الحرج. SDK و REST APIs والواجهة الأمامية (raydium.io) ليست جزءًا من البرنامج. المشاكل هناك لا تحصل على مكافآت، لكن التقارير لا تزال مرحب بها — انظر التقارير غير المدرجة في البرنامج (SDK / API / UI) أدناه للحصول على طريق التواصل. هذه الصفحة هي المصدر الموثوق به لما يغطيه البرنامج، وكيفية الإبلاغ، وما يجب توقعه من عملية الاستجابة.

النطاق

داخل نطاق البرنامج (مدفوع)

ينطبق البرنامج فقط على كود البرنامج المنشور على السلسلة:
  • البرامج المنشورة في معرفات البرامج في reference/program-addresses:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • أخطاء قابلية التكوين (CPI) للعقود الذكية حيث يؤدي الاستخدام الصحيح لبرنامج Raydium من قبل برنامج يتكون منه إلى سوء تصرف البرنامج نفسه.

خارج نطاق البرنامج (يرحب بالإبلاغ — انظر أدناه)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) على npm.
  • REST APIs (كل مضيف مدرج في علامة مرجع APIapi-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io، إلخ).
  • الواجهة الأمامية (raydium.io) — بما في ذلك XSS و CSRF وأخطاء سير المصادقة وانتحال محفظة الأموال والحالات المختلة في الواجهة.
  • فهارس خارج السلسلة والبوابات الصورية / IPFS وأي بنية تحتية أخرى تخدم البيانات في الواجهة.
لا تحصل هذه على مكافآت. التقارير لا تزال مرحب بها ومفيدة — قدمها من خلال قناة غير تابعة للبرنامج أدناه.

خارج النطاق (غير مؤهل على الإطلاق)

  • البرامج الخارجية التي تتكون مع Raydium (أبلغ فريقهم).
  • مجمعات الطرف الثالث التي تسير عبر Raydium (مثل Jupiter).
  • أدوات خارج السلسلة غير التي تحتفظ بها Raydium (SDKs المجتمع بـ Python، برامج الآليات الخاصة بطرف ثالث، إلخ).
  • هجمات الهندسة الاجتماعية على أعضاء فريق Raydium.
  • أي اكتشاف يتطلب تواطؤ من جانب المدقق أو هجمات بأغلبية الحصة (هذا على مستوى Solana، وليس هدف مكافآت DeFi).
  • DoS عن طريق رسائل spam على نقاط نهاية RPC العامة.
  • نواتج أداة المسح الآلي بدون إثبات مفهوم عامل.

منطقة رمادية — ناقش أولاً

  • الأخطاء في بدائل مقاومة MEV التي تتفاعل مع البنية التحتية الخارجية.
  • حالات حدود تكامل Token-2022 حيث يكون السلوك “الصحيح” غامضًا.
  • هجمات اقتصادية / نظرية اللعبة التي لا تُرسم بنظافة على خطأ في الكود.
عند الشك، أخطئ في جانب الإبلاغ.

مقياس الخطورة

تستند المدفوعات إلى مزيج من الخطورة و التأثير الاقتصادي. أمثلة لكل مستوى:

حرج — $100,000–$500,000

  • استنزاف أموال LP لأي مستخدم من خلال تعليمات Raydium صحيحة.
  • عملية mint غير محدودة لرموز LP.
  • تجاوز سلطة ترقية البرنامج.
  • خطأ في سرقة جميع رسوم البروتوكول.
  • جعل محاسبة حمام السباحة دائمًا خاطئة بطريقة تفسد LPs المستقبل.

عالي — $25,000–$100,000

  • سرقة المكافآت المعلقة من المزارع أو مراكز CLMM.
  • تجميد موضع المستخدم (لا يمكنهم إغلاقه) عبر tx ضار.
  • معالجة رياضيات المجموعة بحيث تكون الاستخراج المربح ممكنًا برأس مال معتدل.
  • تجاوز حماية الانزلاق.

متوسط — $5,000–$25,000

  • DoS القابل للتأثير على مجموعة معينة (جميع المبادلات يتم استعادتها).
  • أخطاء التقريب التي تفضل المهاجمين بشكل منهجي، المجمعة عبر العديد من المبادلات.
  • عدم مطابقة الرسوم التي تفيد بعض المستخدمين على حساب الآخرين.
  • تلف مصفوفة CLMM tick يتطلب التدخل اليدوي للمسؤول لإصلاحه.

منخفض — $500–$5,000

  • أخطاء الكشف عن المعلومات (عرض حالة غير عامة).
  • عيوب معالجة الأخطاء التي تجعل التشخيص أصعب.
  • حالات حدود يتم استعادتها بنظافة لكن كان يجب التعامل معها بأناقة.
  • أخطاء إملائية في رسائل الخطأ تسبب التباس.

إعلامي — لا يوجد دفع (لكن الاعتراف)

  • مقترحات جودة الكود.
  • تحسينات التوثيق.
  • تحسينات الغاز بدون آثار أمنية.

معامل التأثير الاقتصادي

بالنسبة للأخطاء المؤهلة للمستوى، يتم الموازنة الإضافية للدفع بواسطة:
  • إمكانية الخسارة المباشرة — ما مقدار TVL الذي يمكن استخراجه بشكل عملي؟
  • القابلية للاستغلال — هل يمكن استدعاؤه بسهولة، أم يتطلب شروطًا محددة؟
  • الاستنساخ — هل يعمل الاستغلال في كل مرة، أم فقط في ظروف نادرة؟
خطأ حرج في مجموعة بقيمة $10M يدفع أكثر من خطأ حرج في مجموعة بقيمة $100k، على الرغم من أن كلاهما حرج.

طرق التواصل

الأساسي: Immunefi

يتم إدراج برنامج مكافآت أخطاء Raydium على Immunefi. أبلغ عن طريق منصة Immunefi:
  1. أنشئ حساب Immunefi.
  2. انتقل إلى صفحة برنامج مكافآت Raydium.
  3. قدم الاكتشاف مع PoC كامل.
  4. عادةً ما يتم الفرز في غضون 24 ساعة.
تتعامل Immunefi مع الضمان والدفع بمجرد تأكيد الاكتشاف.

مباشر (للنتائج الحرجة والحساسة للوقت)

إذا تم استغلال النتيجة بنشاط أو كانت وشيكة ولا يمكنك انتظار فرز Immunefi، فإن أسرع طريق ثانوي هو:
  • زر الطوارئ في Immunefi على صفحة البرنامج — يتصعد في غضون دقائق أثناء ساعات العمل.
  • التواصل المشفر عبر Immunefi — يمكن لـ Immunefi نقل رسالة مشفرة من طرف إلى طرف إلى فريق Raydium.
تجنب القنوات العامة (X / Twitter، Telegram، Discord) للتقارير الأمنية — الإفصاح نفسه يمكن أن يثير الاستغلال. استخدم Immunefi لكل من التقرير وأي قناة اتصال مباشرة تم إنشاؤها لاحقًا.

التقارير غير المدرجة في البرنامج (SDK / API / UI)

بالنسبة للمشاكل في المكونات خارج البرنامج — SDK و REST APIs و واجهة raydium.io الأمامية أو أي بنية تحتية خارج السلسلة — لا يوجد دفع، لكن الفريق لا يزال يريد سماعها. استخدم:
  • البريد الإلكتروني: security@raydium.io لأي شيء له آثار أمنية (XSS و CSRF و تسرب تدفقات المصادقة و إعادة تشغيل الرسائل الموقعة و انتحال المحفظة و البيانات الحساسة المكشوفة بواسطة API، إلخ). قم بالتشفير باستخدام مفتاح PGP للفريق إذا كان الخطأ حساسًا؛ اسأل في البريد الإلكتروني وسيقوم الفريق بتبديل المفاتيح.
  • مشاكل GitHub: للأخطاء الوظيفية غير الأمنية في SDK أو المستندات أو أي مستودع مفتوح المصدر يحتفظ به Raydium. افتح مشكلة في المستودع ذي الصلة (على سبيل المثال raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): جيد لتعليقات UI / UX منخفضة التأثير لا تتعلق بالأمان. لا تنشر أي شيء قد يمكّن من استغلال إذا قرأته شخص غريب.
ما تحصل عليه من التقارير غير المدرجة في البرنامج:
  • الاعتراف في الرد في غضون بضعة أيام عمل.
  • التنسيق عبر المستودعات إذا امتد الإصلاح إلى البرنامج و SDK.
  • الائتمان العام (برضاك) في سجل التغييرات أو ملاحظات الإصدار ذات الصلة.
  • المبلغون المتكررون عن النتائج الجوهرية يُدعون أحيانًا إلى برنامج مساهم؛ هذا المسار منفصل عن برنامج السلسلة ويُقدم على أساس تقديري.
ما لا تحصل عليه:
  • دفع مرتفع، بغض النظر عن الخطورة. البرنامج مخصص لاكتشافات كود البرنامج.
  • التغطية بموجب سياسة الميناء الآمن أدناه — تشير هذه السياسة على وجه التحديد إلى بحث نطاق البرنامج. لاختبار SDK / API / UI، اتبع اتفاقيات الإفصاح المسؤول العادية وشروط الخدمة القياسية.

قواعد الاشتباك

نعم

  • استخدم أموالك الخاصة على mainnet لإثبات المفهوم (مبالغ صغيرة).
  • تطوير ضد devnet أو مدقق mainnet متشعب عند الإمكان.
  • قم بتضمين PoC عامل في التقرير.
  • قدّر التأثير الاقتصادي على أفضل وجه لمعرفتك.
  • اقترح إصلاحًا إذا كان لديك واحد في الاعتبار.

لا

  • قم بالكشف العام عن الثغرة قبل نشر الإصلاح.
  • حاول استخراج المزيد من الأموال مما لزم لتوضيح الخطأ.
  • إجراء هجمات ضد أموال المستخدمين الآخرين.
  • تقديم نفس الاكتشاف على منصات متعددة (Immunefi و Twitter DM و البريد الإلكتروني).
  • محاولة الهندسة الاجتماعية ضد أعضاء فريق Raydium.
  • اختبار المصادقة أو DoS ضد بنية تحتية raydium.io.
يؤدي انتهاك هذه القواعد إلى إلغاء البرنامج.

الجدول الزمني للرد

المرحلةوقت مستهدف
الفرز الأولي≤ 24 ساعة
تصنيف الخطورة≤ 3 أيام عمل
تطوير الإصلاح1–30 يوم (يعتمد على الخطورة + التعقيد)
نشر الإصلاحيخضع إلى timelock 24 ساعة للبرامج على السلسلة
الدفع14 يوم بعد نشر الإصلاح
للنتائج الحرجة، يتسارع مسار الإصلاح: يجتمع الفريق بـ multisig 3/4 على الفور ويصيغ إصلاحًا ويرسله للمراجعة وينتظر نشر timelocked. يمكنك توقع تحديثات كل 24 ساعة أثناء رد حرج.

ما لا تفصح عنه علنًا

حتى يتم نشر الإصلاح وقام فريق Raydium بتنسيق الإفصاح معك:
  • لا تغرد عن الاكتشاف (حتى بشكل غامض “وجدت شيئًا كبيرًا”).
  • لا تصف فئة الخطأ لأطراف ثالثة.
  • لا تشارك كود PoC مع أي شخص خارج فريق فرز Raydium.
بعد نشر الإصلاح + نافذة الإفصاح المنسق:
  • المقالات العامة مرحب بها وموصى بها.
  • ستقوم Raydium بالترويج المتقاطع للمقالات الجوهرية.
  • يتم الاعتراف بالباحثين الذين يوافقون على تسميتهم في لوحة متصدري Immunefi Raydium.

سياسة الميناء الآمن

البحث الذي يتم إجراؤه ضمن النطاق والقواعد المذكورة أعلاه مصرح به بشكل صريح. Raydium:
  • لن تتخذ إجراءات قانونية بناءً على البحث بحسن نية الذي يتبع هذه السياسة.
  • لن تتدخل في أنشطة البحث (على سبيل المثال، إدراج محافظ الباحثين في القائمة السوداء).
  • ستتعاون في فهم الاكتشاف.
البحث خارج النطاق أو القواعد غير محمي بموجب safe harbor. إذا كانت خطة بحثك على الحدود، اسأل عبر قناة “Ask Project” في Immunefi قبل الاختبار.

الإفصاحات البارزة السابقة

إحصائيات مجمعة لبرنامج مكافآت كود البرنامج منذ بداية البرنامج (2021):
  • 200+ تقرير ضمن النطاق مقدم عبر جميع مستويات الخطورة.
  • 18 اكتشاف ذو خطورة حرجة مدفوع، بإجمالي ~$2M.
  • 60+ اكتشاف ذو خطورة عالية مدفوع.
  • وقت الاستجابة الوسيط (الفرز الأولي): 8 ساعات.
  • 0 إفصاح علني تجاوز عملية التنسيق.
تسرد Hall of Fame الباحثين الذين وافقوا على تسميتهم. يتم تتبع التقارير غير المدرجة في البرنامج (SDK / API / UI) بشكل منفصل والاعتراف بها في ملاحظات الإصدار الخاصة بمستودع ذي الصلة بدلاً من لوحة متصدري Immunefi.

البرامج ذات الصلة

  • برنامج مكافآت أخطاء Solana Foundation — يغطي أخطاء عميل مدقق Solana (sealevel و consensus). أبلغ هناك عن مشاكل مستوى Solana. solana.com/security.
  • برنامج مكافآت أخطاء Squads Protocol — يغطي multisig نفسه. squads.so/security.
  • Immunefi — يغطي العديد من بروتوكولات DeFi بما في ذلك Raydium. immunefi.com.
يجب الإبلاغ عن خطأ يمتد عبر الطبقات (على سبيل المثال خطأ مدقق Solana الذي يظهر على Raydium) إلى جميع البرامج المعمول بها.

مؤشرات

المصادر: