Divulgación responsable

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

​

Alcance

​

Dentro del alcance de la recompensa (pagado)

La recompensa aplica solo al código del programa en cadena desplegado:

• Programas desplegados en los IDs de programa en reference/program-addresses:
  • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
  • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
  • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
  • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
  • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
  • Farm v3 / v5 / v6
  • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
  • AMM Routing
• Errores de composibilidad CPI de contrato inteligente donde el uso correcto de un programa de Raydium por parte de un programa compositor hace que el programa de Raydium mismo se comporte incorrectamente.

​

Fuera del alcance de la recompensa (bienvenido reportar — ver más abajo)

• Raydium SDK v2 (@raydium-io/raydium-sdk-v2) en npm.
• APIs REST (cada host listado en la pestaña API Reference — api-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, etc.).
• Frontend (raydium.io) — incluyendo XSS, CSRF, errores de flujo de autenticación, suplantación de billetera, estados de UI rotos.
• Indexadores off-chain, puertas de enlace de imágenes / IPFS y cualquier otra infraestructura que proporcione datos al UI.

Estos no reciben pago. Los reportes siguen siendo bienvenidos y útiles — envíalos a través del Canal sin recompensa más abajo.

​

Fuera de alcance (no elegible en absoluto)

• Programas de terceros que se componen con Raydium (reporta a sus equipos).
• Agregadores de terceros que canalizar a través de Raydium (por ejemplo, Jupiter).
• Herramientas off-chain no mantenidas por Raydium (SDKs comunitarios en Python, bots de terceros, etc.).
• Ataques de ingeniería social contra miembros del equipo de Raydium.
• Cualquier hallazgo que requiera colusión del lado del validador o ataques de mayoría de participación (esto es capa de Solana, no un objetivo de recompensa DeFi).
• DoS mediante spam a puntos finales públicos de RPC.
• Resultados de herramientas de escaneo automatizado sin una prueba de concepto funcional.

​

Zona gris — discutir primero

• Errores en primitivos de resistencia MEV que interactúan con infraestructura externa.
• Casos límite de integración de Token-2022 donde el comportamiento “correcto” es ambiguo.
• Ataques económicos / de teoría de juegos que no se mapean limpiamente a un error de código.

Cuando tengas dudas, es mejor reportar.

​

Rúbrica de gravedad

Los pagos se basan en una combinación de gravedad e impacto económico. Ejemplos por nivel:

​

Crítico — $100,000–$500,000

• Drenaje de fondos LP de cualquier usuario a través de una instrucción válida de Raydium.
• Acuñación ilimitada de tokens LP.
• Elusión de autoridad de actualización del programa.
• Error de robo de todas las tarifas de protocolo.
• Hacer que la contabilidad del pool sea permanentemente incorrecta de una manera que corrompa futuros LPs.

​

Alto — $25,000–$100,000

• Robo de recompensas pendientes de farms o posiciones CLMM.
• Congelación de la posición de un usuario (no pueden cerrarla) a través de una tx maliciosa.
• Manipulación de las matemáticas del pool de manera que la extracción rentable sea posible con capital moderado.
• Elusión de protección de slippage.

​

Medio — $5,000–$25,000

• DoS griefable de un pool específico (todos los swaps revierten).
• Errores de redondeo que favorecen sistemáticamente a los atacantes, agregados en muchos swaps.
• Contabilidad de tarifas incorrecta que beneficia a algunos usuarios a expensas de otros.
• Corrupción del tick-array de CLMM que requiere intervención manual del administrador para corregir.

​

Bajo — $500–$5,000

• Errores de divulgación de información (exponen estado no público).
• Fallos en el manejo de errores que dificultan el diagnóstico.
• Casos límite que revierten limpiamente pero deberían haberse manejado con gracia.
• Errores tipográficos en mensajes de error que causan confusión.

​

Informativo — Sin pago (pero reconocimiento)

• Sugerencias de calidad de código.
• Mejoras de documentación.
• Optimizaciones de gas sin implicaciones de seguridad.

​

Multiplicador de impacto económico

Para errores que califican de nivel, el pago se pondera además por:

• Potencial de pérdida directa — ¿cuánto TVL es prácticamente extraíble?
• Explotabilidad — ¿es trivialmente invocable o requiere precondiciones específicas?
• Reproducibilidad — ¿funciona el exploit cada vez o solo bajo condiciones raras?

Un error de gravedad crítica que afecta a un pool de $10M paga más que un error de gravedad crítica que afecta a un pool de $100k, aunque ambos sean críticos.

​

Vías de contacto

​

Principal: Immunefi

El programa de recompensas por errores de Raydium está listado en Immunefi. Reporta a través de la plataforma Immunefi:

1. Crea una cuenta de Immunefi.
2. Navega a la página de recompensas de Raydium.
3. Envía el hallazgo con PoC completo.
4. La clasificación típicamente ocurre dentro de 24 horas.

Immunefi maneja el depósito en garantía y el pago una vez que se confirme el hallazgo.

​

Directo (para hallazgos críticos y sensibles al tiempo)

Si el hallazgo está siendo explorado activamente o es inminente y no puedes esperar la clasificación de Immunefi, la vía secundaria más rápida es:

• Botón de emergencia de Immunefi en la página de recompensas — se escala dentro de minutos durante horario comercial.
• Contacto encriptado a través de Immunefi — Immunefi puede retransmitir un mensaje encriptado de extremo a extremo al equipo de Raydium.

Evita canales públicos (X / Twitter, Telegram, Discord) para reportes de seguridad — la divulgación misma puede desencadenar explotación. Usa Immunefi tanto para el reporte como para cualquier vía de contacto directo establecida después.

​

Reportes sin recompensa (SDK / API / UI)

Para problemas en componentes fuera de la recompensa — el SDK, las APIs REST, el frontend raydium.io, o cualquier infraestructura off-chain — no hay pago, pero el equipo aún quiere escuchar sobre ellos. Usa:

• Email: security@raydium.io para cualquier cosa con implicaciones de seguridad (XSS, CSRF, fugas de flujo de autenticación, repetición de mensajes firmados, suplantación de billetera, datos sensibles expuestos por una API, etc.). Encripta con la clave PGP del equipo si el error es sensible; pide en el email y el equipo intercambiará claves.
• Problemas de GitHub: para errores funcionales no de seguridad en el SDK, los documentos, o cualquier repositorio de código abierto mantenido por Raydium. Abre un problema en el repositorio relevante (por ejemplo, raydium-io/raydium-sdk-V2).
• Discord (discord.gg/raydium): está bien para retroalimentación de UI / UX de bajo impacto que no toque seguridad. No publiques nada que pudiera habilitar una explotación si lo leyera un extraño.

Lo que obtienes de reportes sin recompensa:

• Reconocimiento en la respuesta dentro de algunos días hábiles.
• Coordinación entre repositorios si la solución abarca el programa y el SDK.
• Crédito público (con tu consentimiento) en el changelog relevante o notas de lanzamiento.
• Reportadores repetidos de hallazgos sustanciales a veces son invitados a un programa de colaboradores; esa vía es separada de la recompensa en cadena y se ofrece de manera discrecional.

Lo que no obtienes:

• Un pago escalado, independientemente de la gravedad. La recompensa es para hallazgos de código de programa.
• Cobertura bajo la política de puerto seguro a continuación — esa política se refiere específicamente a investigación dentro del alcance de la recompensa. Para pruebas de SDK / API / UI, sigue convenciones estándar de divulgación responsable y términos de servicio estándar.

​

Reglas de participación

​

Sí

• Usa tus propios fondos en mainnet para prueba de concepto (pequeñas cantidades).
• Desarrolla contra devnet o un validador mainnet bifurcado cuando sea posible.
• Incluye un PoC funcional en el reporte.
• Estima el impacto económico al mejor de tu conocimiento.
• Propón una solución si tienes una en mente.

​

No

• Divulgues públicamente la vulnerabilidad antes de que se implemente una solución.
• Intentes extraer más fondos de los necesarios para demostrar el error.
• Conduzcas ataques contra fondos de otros usuarios.
• Envíes el mismo hallazgo en múltiples plataformas (Immunefi, DM de Twitter, email).
• Intentes ingeniería social contra miembros del equipo de Raydium.
• Prueba autenticación o DoS contra infraestructura raydium.io.

Las violaciones de estas reglas invalidan la recompensa.

​

Cronograma de respuesta

Para hallazgos críticos, la vía de solución se acelera: el equipo convoca la multifirma 3/4 inmediatamente, redacta una solución, presenta para revisión, cola la implementación timelocked. Puedes esperar actualizaciones cada 24 horas durante una respuesta crítica.

​

Qué no divulgar públicamente

Hasta que se implemente una solución y el equipo de Raydium haya coordinado divulgación contigo:

• No tuittees sobre el hallazgo (ni siquiera vagamente “encontré algo grande”).
• No describes la clase de error a terceros.
• No compartas código de PoC con nadie fuera del equipo de clasificación de Raydium.

Después de la implementación de solución + ventana de divulgación coordinada:

• Los writeups públicos son bienvenidos y alentados.
• Raydium promoverá writeups sustanciales.
• Los investigadores que consienten ser nombrados son acreditados en el leaderboard de Immunefi Raydium.

​

Política de puerto seguro

La investigación conducida dentro del alcance y reglas anteriores está explícitamente autorizada. Raydium:

• No perseguirá acciones legales por investigación de buena fe que siga esta política.
• No interferirá con actividades de investigación (por ejemplo, listar billeteras de investigadores en negro).
• Colaborará en comprender el hallazgo.

La investigación fuera del alcance o reglas no está protegida por puerto seguro. Si tu plan de investigación es límite, pregunta a través del canal “Ask Project” de Immunefi antes de probar.

​

Divulgaciones notables del pasado

Estadísticas agregadas para la recompensa de código de programa desde la creación del programa (2021):

• 200+ reportes dentro del alcance enviados en todos los niveles de gravedad.
• 18 hallazgos de gravedad crítica pagados, totalizando ~$2M.
• 60+ hallazgos de gravedad alta pagados.
• Tiempo de respuesta mediano (clasificación inicial): 8 horas.
• 0 divulgaciones públicas que eludan el proceso coordinado.

El Salón de la Fama lista investigadores que consienten ser nombrados. Los reportes sin recompensa (SDK / API / UI) se rastrean por separado y se reconocen en las notas de lanzamiento del repositorio relevante en lugar de en el leaderboard de Immunefi.

​

Programas relacionados

• Solana Foundation Bug Bounty — cubre errores del cliente validador de Solana (sealevel, consenso). Reporta allí para problemas de capa de Solana. solana.com/security.
• Squads Protocol Bug Bounty — cubre la multifirma misma. squads.so/security.
• Immunefi — cubre muchos protocolos DeFi incluyendo Raydium. immunefi.com.

Un error que abarca capas (por ejemplo, un error del validador de Solana que se manifiesta en Raydium) debe reportarse a todos los programas aplicables.

​

Referencias

• security/audits — historial de auditoría previo.
• security/admin-and-multisig — estructura de autoridad.
• security/attack-vectors — clases de ataque conocidas.

Fuentes:

• Página de recompensas Raydium de Immunefi — alcance canónico, términos de pago y vía de contacto.