Saltar para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

Esta página foi traduzida automaticamente por IA. A versão em inglês é a fonte oficial.Ver versão em inglês →
O Raydium executa um programa de bug bounty ativo cobrindo apenas código de programa on-chain — os contratos inteligentes Solana nos IDs de programa listados em reference/program-addresses. Os pagamentos variam de acordo com a severidade e o impacto econômico, chegando a $500.000 no topo da categoria crítica.O SDK, APIs REST e frontend (raydium.io) não fazem parte do bounty. Problemas lá não geram pagamento, mas os relatórios ainda são bem-vindos — veja Relatórios sem bounty (SDK / API / UI) abaixo para o caminho de contato.Esta página é a fonte de verdade para o que o bounty cobre, como relatar e o que esperar do processo de resposta.

Escopo

Dentro do escopo de bounty (com pagamento)

O bounty se aplica apenas ao código de programa on-chain implantado:
  • Programas implantados nos IDs de programa em reference/program-addresses:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • AMM Estável (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • Bugs de composabilidade CPI de contrato inteligente onde o uso correto de um programa Raydium por um programa compositor causa mau funcionamento do próprio programa Raydium.

Fora do escopo de bounty (bem-vindo relatar — veja abaixo)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) no npm.
  • APIs REST (todos os hosts listados na aba API Referenceapi-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, etc.).
  • Frontend (raydium.io) — incluindo XSS, CSRF, bugs de fluxo de autenticação, spoofing de carteira, estados de UI quebrados.
  • Indexadores off-chain, gateways de imagem / IPFS e qualquer outra infraestrutura que forneça dados para a UI.
Estes não geram pagamento. Relatórios ainda são bem-vindos e úteis — envie-os através do Canal sem bounty abaixo.

Fora do escopo (não elegível)

  • Programas de terceiros que se compõem com Raydium (reporte para suas equipes).
  • Agregadores de terceiros que direcionam através do Raydium (por exemplo, Jupiter).
  • Ferramentas off-chain não mantidas pelo Raydium (SDKs comunitários em Python, bots de terceiros, etc.).
  • Ataques de engenharia social contra membros da equipe Raydium.
  • Qualquer descoberta que exija conluio do validador ou ataques de maioria de stake (isto é Solana-layer, não um alvo de bounty DeFi).
  • DoS através de spam em pontos finais RPC públicos.
  • Saídas de ferramentas de varredura automatizada sem um proof-of-concept funcional.

Zona cinzenta — discuta primeiro

  • Bugs em primitivos de resistência a MEV que interagem com infraestrutura externa.
  • Casos extremos de integração Token-2022 onde o comportamento “correto” é ambíguo.
  • Ataques econômicos / teórico-dos-jogos que não se mapeiam limpar para um bug de código.
Quando incerto, erre no lado de relatar.

Rubrica de severidade

Os pagamentos são baseados em uma mistura de severidade e impacto econômico. Exemplos por categoria:

Crítica — $100.000–$500.000

  • Drenagem de fundos LP de qualquer usuário via uma instrução Raydium válida.
  • Cunhagem ilimitada de tokens LP.
  • Bypass da autoridade de atualização do programa.
  • Bug de roubo de todas as taxas de protocolo.
  • Tornar a contabilidade do pool permanentemente incorreta de forma que corrompa futuros LPs.

Alta — $25.000–$100.000

  • Roubo de recompensas pendentes de farms ou posições CLMM.
  • Congelamento de uma posição do usuário (não conseguem fechá-la) via tx malicioso.
  • Manipular a matemática do pool de modo que seja possível extração lucrativa com capital moderado.
  • Bypass de proteção de slippage.

Média — $5.000–$25.000

  • DoS provocável de um pool específico (todos os swaps revertam).
  • Erros de arredondamento que favorecem sistematicamente atacantes, agregados em muitos swaps.
  • Má contabilidade de taxa que beneficia alguns usuários às custas de outros.
  • Corrupção de tick-array CLMM requerendo intervenção manual de administrador para corrigir.

Baixa — $500–$5.000

  • Bugs de divulgação de informações (expor estado não público).
  • Falhas de tratamento de erro que tornam o diagnóstico mais difícil.
  • Casos extremos que revertam limpar mas deveriam ter sido tratados graciosamente.
  • Erros de digitação em mensagens de erro que causam confusão.

Informacional — Sem pagamento (mas reconhecimento)

  • Sugestões de qualidade de código.
  • Melhorias de documentação.
  • Otimizações de gás sem implicações de segurança.

Multiplicador de impacto econômico

Para bugs que se qualificam para categoria, o pagamento é ainda ponderado por:
  • Potencial de perda direta — quanto TVL é praticamente extraível?
  • Exploitabilidade — é trivialmente executável ou requer precondições específicas?
  • Reprodutibilidade — o exploit funciona toda vez ou apenas sob condições raras?
Um bug de severidade crítica afetando um pool de $10M paga mais do que um bug de severidade crítica afetando um pool de $100k, embora ambos sejam críticos.

Caminhos de contato

Primário: Immunefi

O bug bounty do Raydium está listado em Immunefi. Reporte através da plataforma Immunefi:
  1. Crie uma conta Immunefi.
  2. Navegue até a página de bounty do Raydium.
  3. Envie a descoberta com PoC completo.
  4. Triagem típica dentro de 24 horas.
Immunefi lida com escrow e pagamento uma vez que a descoberta é confirmada.

Direto (para descobertas críticas e sensíveis ao tempo)

Se a descoberta está sendo ativamente explorada ou é iminente e você não consegue esperar por triagem Immunefi, o caminho secundário mais rápido é:
  • Botão de emergência do Immunefi na página de bounty — escala dentro de minutos durante horário comercial.
  • Contato criptografado através do Immunefi — Immunefi pode retransmitir uma mensagem criptografada de ponta a ponta para a equipe Raydium.
Evite canais públicos (X / Twitter, Telegram, Discord) para relatórios de segurança — a divulgação em si pode desencadear exploração. Use Immunefi tanto para o relatório quanto para qualquer caminho de contato direto estabelecido posteriormente.

Relatórios sem bounty (SDK / API / UI)

Para problemas em componentes fora do bounty — o SDK, as APIs REST, o frontend raydium.io ou qualquer infraestrutura off-chain — não há pagamento, mas a equipe ainda quer ouvir falar sobre eles. Use:
  • Email: security@raydium.io para qualquer coisa com implicações de segurança (XSS, CSRF, vazamentos de fluxo de autenticação, replay de mensagem assinada, spoofing de carteira, dados sensíveis expostos por uma API, etc.). Criptografe com a chave PGP da equipe se o bug for sensível; peça no email e a equipe trocar chaves.
  • Problemas do GitHub: para bugs funcionais não relacionados a segurança no SDK, documentação ou qualquer repositório open-source mantido pelo Raydium. Abra um problema no repositório relevante (por exemplo, raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): apropriado para feedback de UI / UX de baixo impacto que não toca segurança. Não poste nada que pudesse habilitar um exploit se lido por um estranho.
O que você obtém de relatórios sem bounty:
  • Reconhecimento na resposta dentro de alguns dias úteis.
  • Coordenação entre repositórios se a correção abranger o programa e o SDK.
  • Crédito público (com seu consentimento) no changelog ou notas de versão relevantes.
  • Repórteres repetidos de descobertas substanciais às vezes são convidados para um programa de colaborador; este caminho é separado do bounty on-chain e é oferecido em base discricionária.
O que você não obtém:
  • Um pagamento em escala, independentemente de severidade. O bounty é para descobertas de código de programa.
  • Cobertura sob a política de safe harbor abaixo — essa política se refere especificamente a pesquisa de escopo de bounty. Para testes SDK / API / UI, siga convenções padrão de divulgação responsável e termos de serviço padrão.

Regras de engajamento

Faça

  • Use seus próprios fundos em mainnet para proof-of-concept (quantias pequenas).
  • Desenvolva em devnet ou um validador mainnet fork quando possível.
  • Inclua um PoC funcional no relatório.
  • Estime o impacto econômico da melhor forma que puder.
  • Proponha uma correção se tiver uma em mente.

Não faça

  • Divulgue publicamente a vulnerabilidade antes de uma correção ser implantada.
  • Tente extrair mais fundos do que o necessário para demonstrar o bug.
  • Conduza ataques contra fundos de outros usuários.
  • Envie a mesma descoberta em múltiplas plataformas (Immunefi, Twitter DM, email).
  • Tente engenharia social contra membros da equipe Raydium.
  • Teste autenticação ou DoS contra infraestrutura raydium.io.
Violações destas regras invalidam o bounty.

Cronograma de resposta

FaseTempo alvo
Triagem inicial≤ 24 horas
Classificação de severidade≤ 3 dias úteis
Desenvolvimento de correção1–30 dias (depende de severidade + complexidade)
Implantação de correçãoSujeita a timelock de 24h para programas on-chain
Pagamento14 dias após implantação de correção
Para descobertas críticas, a trilha de correção é acelerada: a equipe reúne o multisig 3/4 imediatamente, redige uma correção, submete para revisão, filas o deploy timelocked. Você pode esperar atualizações a cada 24 horas durante uma resposta crítica.

O que não divulgar publicamente

Até uma correção ser implantada e a equipe Raydium coordenar a divulgação com você:
  • Não tuíte sobre a descoberta (nem vaga “encontrei algo grande”).
  • Não descreva a classe de bug para terceiros.
  • Não compartilhe código PoC com ninguém fora da equipe de triagem do Raydium.
Após implantação de correção + janela de divulgação coordenada:
  • Writeups públicos são bem-vindos e encorajados.
  • Raydium irá promoção cruzada writeups substanciais.
  • Pesquisadores que consentem em ser nomeados são creditados no leaderboard Immunefi Raydium.

Política de safe harbor

Pesquisa conduzida dentro do escopo e regras acima é explicitamente autorizada. O Raydium:
  • Não perseguirá ação legal por pesquisa de boa fé que siga esta política.
  • Não interferirá com atividades de pesquisa (por exemplo, lista negra de carteiras de pesquisadores).
  • Colaborará na compreensão da descoberta.
Pesquisa fora do escopo ou regras não é protegida por safe harbor. Se seu plano de pesquisa é limite, pergunte através do canal “Ask Project” do Immunefi antes de testar.

Divulgações notáveis do passado

Estatísticas agregadas para o bounty de código de programa desde a criação do programa (2021):
  • 200+ relatórios no escopo enviados em todas as categorias de severidade.
  • 18 descobertas de severidade crítica pagas, totalizando ~$2M.
  • 60+ descobertas de severidade alta pagas.
  • Tempo médio de resposta (triagem inicial): 8 horas.
  • 0 divulgações públicas que contornaram o processo coordenado.
O Hall of Fame lista pesquisadores que consentiram em ser nomeados. Relatórios sem bounty (SDK / API / UI) são rastreados separadamente e reconhecidos nas notas de versão do repositório relevante em vez de no leaderboard Immunefi.

Programas relacionados

  • Solana Foundation Bug Bounty — cobre bugs de cliente do validador Solana (sealevel, consensus). Reporte lá para problemas de camada Solana. solana.com/security.
  • Squads Protocol Bug Bounty — cobre multisig em si. squads.so/security.
  • Immunefi — cobre muitos protocolos DeFi incluindo Raydium. immunefi.com.
Um bug que abrange camadas (por exemplo, um bug de validador Solana que se manifesta em Raydium) deve ser reportado a todos os programas aplicáveis.

Referências

Fontes: