Langsung ke konten utama

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

Halaman ini diterjemahkan secara otomatis oleh AI. Versi bahasa Inggris adalah acuan resmi.Lihat versi bahasa Inggris →
Raydium menjalankan program bug bounty yang aktif hanya mencakup kode program on-chain — smart contract Solana di program ID yang terdaftar dalam reference/program-addresses. Pembayaran diskalakan berdasarkan tingkat keparahan dan dampak ekonomi, mencapai hingga $500,000 di tingkat kritis tertinggi.SDK, REST API, dan frontend (raydium.io) bukan bagian dari bounty. Masalah di sana tidak mendapat pembayaran, tetapi laporan tetap diterima — lihat Laporan non-bounty (SDK / API / UI) di bawah untuk jalur kontak.Halaman ini adalah sumber kebenaran untuk apa yang dicakup bounty, cara melaporkan, dan apa yang diharapkan dari proses respons.

Ruang lingkup

Dalam ruang lingkup bounty (dibayar)

Bounty hanya berlaku untuk kode program on-chain yang telah digunakan:
  • Program yang telah digunakan di program ID dalam reference/program-addresses:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • Bug komposabilitas CPI smart contract di mana penggunaan yang benar program Raydium oleh program yang mengompilasi menyebabkan program Raydium itu sendiri berperilaku tidak benar.

Tidak dalam ruang lingkup bounty (selamat datang untuk melaporkan — lihat di bawah)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) di npm.
  • REST API (setiap host yang terdaftar dalam tab API Referenceapi-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, dll.).
  • Frontend (raydium.io) — termasuk XSS, CSRF, bug auth-flow, wallet-spoofing, kerusakan status UI.
  • Indexer off-chain, gateway gambar / IPFS, dan infrastruktur lainnya yang melayani data ke dalam UI.
Ini tidak mendapat pembayaran. Laporan tetap diterima dan bermanfaat — kirimkan melalui saluran Non-bounty di bawah.

Keluar dari ruang lingkup (tidak layak sama sekali)

  • Program pihak ketiga yang mengkomposisi dengan Raydium (laporkan ke tim mereka).
  • Agregator pihak ketiga yang merutekan melalui Raydium (mis. Jupiter).
  • Tooling off-chain yang tidak dikelola oleh Raydium (SDK komunitas di Python, bot pihak ketiga, dll.).
  • Serangan social engineering terhadap anggota tim Raydium.
  • Temuan apa pun yang memerlukan kolusi sisi validator atau serangan dengan mayoritas stake (ini adalah lapisan Solana, bukan target bounty DeFi).
  • DoS melalui pengiriman spam ke endpoint RPC publik.
  • Output alat pemindaian otomatis tanpa proof-of-concept yang berfungsi.

Zona abu-abu — diskusikan terlebih dahulu

  • Bug di primitif ketahanan MEV yang berinteraksi dengan infrastruktur eksternal.
  • Edge case integrasi Token-2022 di mana perilaku “benar” ambigu.
  • Serangan ekonomi / game-theoretic yang tidak memetakan dengan bersih ke bug kode.
Ketika tidak yakin, lebih baik melaporkan.

Rubrik tingkat keparahan

Pembayaran didasarkan pada kombinasi keparahan dan dampak ekonomi. Contoh per tingkat:

Kritis — $100,000–$500,000

  • Pengosongan dana LP pengguna apa pun melalui instruksi Raydium yang valid.
  • Pencetakan LP token tanpa batas.
  • Melewati otoritas upgrade program.
  • Bug mencuri semua biaya protokol.
  • Membuat akuntansi pool secara permanen salah dengan cara yang merusak LP di masa depan.

Tinggi — $25,000–$100,000

  • Mencuri imbalan tertunda dari farm atau posisi CLMM.
  • Membekukan posisi pengguna (mereka tidak dapat menutupnya) melalui tx berbahaya.
  • Memanipulasi matematika pool sehingga ekstraksi menguntungkan dimungkinkan dengan modal sedang.
  • Melewati perlindungan slippage.

Sedang — $5,000–$25,000

  • DoS yang dapat diganggu dari pool tertentu (semua swap dikembalikan).
  • Kesalahan pembulatan yang secara sistematis menguntungkan penyerang, dikumpulkan selama banyak swap.
  • Kesalahan akuntansi biaya yang menguntungkan beberapa pengguna dengan mengorbankan pengguna lain.
  • Kerusakan array tick CLMM yang memerlukan intervensi admin manual untuk diperbaiki.

Rendah — $500–$5,000

  • Bug pengungkapan informasi (mengekspos status non-publik).
  • Kecacatan penanganan kesalahan yang membuat diagnosis lebih sulit.
  • Edge case yang dikembalikan dengan bersih tetapi seharusnya ditangani dengan baik.
  • Typo dalam pesan kesalahan yang menyebabkan kebingungan.

Informatif — Tidak ada pembayaran (tetapi pengakuan)

  • Saran kualitas kode.
  • Perbaikan dokumentasi.
  • Optimasi gas tanpa implikasi keamanan.

Pengali dampak ekonomi

Untuk bug yang memenuhi syarat tingkat, pembayaran lebih lanjut ditimbang oleh:
  • Potensi kerugian langsung — berapa banyak TVL yang secara praktis dapat diekstraksi?
  • Eksploitabilitas — apakah dapat dipanggil secara sepele, atau memerlukan kondisi khusus?
  • Reproducibility — apakah exploit berfungsi setiap kali, atau hanya dalam kondisi langka?
Bug tingkat keparahan kritis yang mempengaruhi pool $10M membayar lebih dari bug tingkat keparahan kritis yang mempengaruhi pool $100k, meskipun keduanya kritis.

Jalur kontak

Utama: Immunefi

Bug bounty Raydium terdaftar di Immunefi. Laporkan melalui platform Immunefi:
  1. Buat akun Immunefi.
  2. Navigasi ke halaman bounty Raydium.
  3. Kirimkan temuan dengan PoC lengkap.
  4. Triage biasanya dalam 24 jam.
Immunefi menangani escrow dan pembayaran setelah temuan dikonfirmasi.

Langsung (untuk temuan kritis dan sensitif waktu)

Jika temuan sedang dieksploitasi secara aktif atau akan segera terjadi dan Anda tidak dapat menunggu triage Immunefi, jalur sekunder tercepat adalah:
  • Tombol darurat Immunefi di halaman bounty — eskalasi dalam hitungan menit selama jam kerja.
  • Kontak terenkripsi melalui Immunefi — Immunefi dapat meneruskan pesan terenkripsi ujung ke ujung kepada tim Raydium.
Hindari saluran publik (X / Twitter, Telegram, Discord) untuk laporan keamanan — pengungkapan itu sendiri dapat memicu eksploitasi. Gunakan Immunefi untuk laporan dan saluran kontak langsung apa pun yang didirikan setelahnya.

Laporan non-bounty (SDK / API / UI)

Untuk masalah dalam komponen di luar bounty — SDK, REST API, frontend raydium.io, atau infrastruktur off-chain apa pun — tidak ada pembayaran, tetapi tim tetap ingin mendengarnya. Gunakan:
  • Email: security@raydium.io untuk apa pun dengan implikasi keamanan (XSS, CSRF, kebocoran auth-flow, replay signed-message, wallet spoofing, data sensitif yang diekspos oleh API, dll.). Enkripsi dengan kunci PGP tim jika bug sensitif; tanyakan dalam email dan tim akan menukar kunci.
  • GitHub issues: untuk bug fungsional non-keamanan di SDK, dokumentasi, atau repo open-source yang dikelola Raydium. Buka issue di repository yang relevan (mis. raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): cocok untuk feedback UI / UX dampak rendah yang tidak menyentuh keamanan. Jangan posting apa pun yang dapat memungkinkan exploit jika dibaca oleh orang asing.
Apa yang Anda dapatkan dari laporan non-bounty:
  • Pengakuan dalam respons dalam beberapa hari kerja.
  • Koordinasi lintas repo jika perbaikan mencakup program dan SDK.
  • Kredit publik (dengan persetujuan Anda) dalam changelog atau catatan rilis yang relevan.
  • Reporter berulang dari temuan substansial kadang-kadang diundang ke program kontributor; jalur itu terpisah dari bounty on-chain dan ditawarkan atas dasar kebijaksanaan.
Apa yang tidak Anda dapatkan:
  • Pembayaran yang diskalakan, terlepas dari tingkat keparahan. Bounty adalah untuk temuan kode program.
  • Cakupan di bawah kebijakan safe-harbor di bawah — kebijakan itu secara khusus mengacu pada penelitian ruang lingkup bounty. Untuk pengujian SDK / API / UI, ikuti konvensi pengungkapan yang bertanggung jawab secara normal dan syarat layanan standar.

Aturan keterlibatan

Lakukan

  • Gunakan dana Anda sendiri di mainnet untuk proof-of-concept (jumlah kecil).
  • Kembangkan terhadap devnet atau validator mainnet bercabang jika memungkinkan.
  • Sertakan PoC yang berfungsi dalam laporan.
  • Perkirakan dampak ekonomi sebaik pengetahuan Anda.
  • Usulkan perbaikan jika Anda memilikinya.

Jangan lakukan

  • Umum mengungkapkan kerentanan sebelum perbaikan digunakan.
  • Coba ekstraksi lebih banyak dana daripada yang diperlukan untuk mendemonstrasikan bug.
  • Melakukan serangan terhadap dana pengguna lain.
  • Kirimkan temuan yang sama di beberapa platform (Immunefi, Twitter DM, email).
  • Coba social engineering terhadap anggota tim Raydium.
  • Uji autentikasi atau DoS terhadap infrastruktur raydium.io.
Pelanggaran aturan ini membatalkan bounty.

Garis waktu respons

FaseTarget waktu
Triage awal≤ 24 jam
Klasifikasi tingkat keparahan≤ 3 hari kerja
Pengembangan perbaikan1–30 hari (tergantung keparahan + kompleksitas)
Penerapan perbaikanTunduk pada timelock 24j untuk program on-chain
Pembayaran14 hari setelah penerapan perbaikan
Untuk temuan kritis, jalur perbaikan mempercepat: tim mengkonvensi multisig 3/4 segera, membuat draf perbaikan, mengirimkan untuk review, antrian deploy yang terkunci waktu. Anda dapat mengharapkan pembaruan setiap 24 jam selama respons kritis.

Apa yang tidak boleh diungkapkan secara publik

Sampai perbaikan digunakan dan tim Raydium telah mengkoordinasikan pengungkapan dengan Anda:
  • Jangan tweet tentang temuan (bahkan samar “Saya menemukan sesuatu yang besar”).
  • Jangan jelaskan kelas bug kepada pihak ketiga.
  • Jangan bagikan kode PoC dengan siapa pun di luar tim triage Raydium.
Setelah penerapan perbaikan + jendela pengungkapan terkoordinasi:
  • Penulisan publik diterima dan didorong.
  • Raydium akan cross-promote penulisan substansial.
  • Peneliti yang setuju untuk dinamai dikreditkan di leaderboard Immunefi Raydium.

Kebijakan safe-harbor

Penelitian yang dilakukan dalam ruang lingkup dan aturan di atas secara eksplisit diotorisasi. Raydium:
  • Tidak akan mengejar tindakan hukum untuk penelitian yang dilakukan dengan itikad baik yang mengikuti kebijakan ini.
  • Tidak akan mengganggu aktivitas penelitian (mis., blacklist wallet peneliti).
  • Akan berkolaborasi dalam memahami temuan.
Penelitian di luar ruang lingkup atau aturan tidak dilindungi oleh safe harbor. Jika rencana penelitian Anda perbatasan, tanyakan melalui saluran “Ask Project” Immunefi sebelum pengujian.

Pengungkapan notabel di masa lalu

Statistik agregat untuk bounty kode program sejak awal program (2021):
  • 200+ laporan dalam ruang lingkup dikirimkan di semua tingkat keparahan.
  • 18 temuan tingkat kritis dibayar, total ~$2M.
  • 60+ temuan tingkat tinggi dibayar.
  • Waktu respons median (triage awal): 8 jam.
  • 0 pengungkapan publik yang melewati proses terkoordinasi.
Hall of Fame mencantumkan peneliti yang setuju untuk dinamai. Laporan non-bounty (SDK / API / UI) dilacak secara terpisah dan diakui dalam catatan rilis repository yang relevan daripada di leaderboard Immunefi.

Program terkait

  • Solana Foundation Bug Bounty — mencakup bug klien validator Solana (sealevel, consensus). Laporkan di sana untuk masalah tingkat Solana. solana.com/security.
  • Squads Protocol Bug Bounty — mencakup multisig itu sendiri. squads.so/security.
  • Immunefi — mencakup banyak protokol DeFi termasuk Raydium. immunefi.com.
Bug yang mencakup lapisan (mis. bug validator Solana yang terwujud di Raydium) harus dilaporkan ke semua program yang berlaku.

Penunjuk

Sumber: