🩹漏洞赏金计划

Raydium与ImmuneFi的完整漏洞赏金计划可以在以下链接中找到

https://immunefi.com/bounty/raydium/

该漏洞赏金计划涵盖Raydium的开源集中流动性做市商(CLMM)智能合约,主要是为了防止资金被盗和冻结。UI漏洞不符合漏洞赏金计划的要求。

漏洞赏金计划将与ImmuneFi合作推出,然而,以下奖励在推出之前仍然适用。

如果你有关于漏洞或bug的信息,请通过ImmuneFi项目网站的官方渠道:

https://immunefi.com/bounty/raydium/

奖励

奖励是根据漏洞的影响来分配的,基于ImmuneFi的漏洞分级规则

智能合约

  1. 严重 50,000美元至505,000美元

  2. 高级 40,000美元

  3. 中等 5,000美元

所有的漏洞报告必须包括一个概念证明(PoC),证明该漏洞如何被利用来影响范围内的资产,才有资格获得奖励。严重和高严重度的漏洞报告还应该包括一个修复建议。解释和声明不被接受为PoC,必须附上代码。

严重的智能合约漏洞的上限为经济损失的10%,主要考虑到风险资金,但也考虑到市场公关和品牌方面,这方面更多的由团队决定。然而,最低奖励为50 000美元。

以下漏洞没有资格获得奖励:

  • 所有被标记在Ottersec 审计报告的漏洞都没有资格获得奖励。

  • CLMM协议向流动性提供者发出交易费和挖矿收益代币。然而,如果金库中的代币或费用被攻击者耗尽,用户将无法索取收益,交易将失败。这是设计上的考量,不是一个漏洞。

赔付由Raydium直接处理,以美元计价。以RAY支付。

范围内的资产

只有那些被认为在范围内的资产才被认为是在漏洞赏金计划内的。

关于PoC的文件和说明可以在这里找到:

Raydium的公共测试网可以在这里找到。 但是,请注意,在公共测试网上的测试是禁止的。公共测试网只提供参考。

如果一个关键的漏洞可能会对Raydium管理的任何其他资产造成影响,而该影响不在此表中,但在以下范围内的影响部分,我们鼓励您提交该提议以供考虑。这只适用于关键漏洞。

Target

Type

Smart Contract - collect_fund_fee

Smart Contract - collect_protocol_fee

Smart Contract - create_operation_account

Smart Contract - admin/mod

Smart Contract - transfer_reward_owner

Smart Contract - update_amm_config

Smart Contract - update_operation_account

Smart Contract - update_pool_status

Smart Contract - close_position

Smart Contract - collect_remaining_rewards

Smart Contract - create_pool

Smart Contract - decrease_liquidity

Smart Contract - increase_liquidity

Smart Contract - initialize_reward

Smart Contract - instructions/mod

Smart Contract - open_position

Smart Contract - set_reward_params

Smart Contract - swap

Smart Contract - swap_router_base_in

Smart Contract - update_reward_info

Smart Contract - big_num

Smart Contract - fixed_point

Smart Contract - full_math

Smart Contract - liquidity_math

Smart Contract - libraries/mod

Smart Contract - sqrt_price_math

Smart Contract - swap_math

Smart Contract - tick_array_bit_map

Smart Contract - tick_math

Smart Contract - unsafe_math

Smart Contract - config

Smart Contract - states/mod

Smart Contract - operation_account

Smart Contract - oracle

Smart Contract - personal_position

Smart Contract - pool

Smart Contract - protocol_position

Smart Contract - tick_array

Smart Contract - access_control

Smart Contract - util/mod

Smart Contract - system

Smart Contract - token

Smart Contract - error

Smart Contract - lib

范围内的漏洞问题

本漏洞赏金计划只接受以下问题。所有其他的都不被认为是范围内的,即使它们影响了范围内资产表中的某些东西。

关键漏洞

  • 直接盗窃任何用户的资金,无论是静止的还是动态的,除了无人认领的收益之外。

  • 永久冻结资金

  • 可能永久冻结用户资金或涉及未经用户交易批准的资金耗费或盗窃的漏洞

高风险

  • 盗窃未领取的收益

  • 永久冻结未领取的收益

  • 在任何时间内临时冻结资金

  • 可能暂时冻结用户资金或故意改变用户资金价值的漏洞

中风险

  • 由于缺乏代币资金,智能合约无法运行

  • 为盈利而加塞区块

  • 恶意破坏(例如,攻击者没有盈利动机,但对用户或协议造成损害)

  • 窃取gas

  • 无限制的gas消耗

超出范围和规则

以下漏洞不在本漏洞赏金计划的奖励范围内:

  • 报告人自己已经利用了的攻击,导致了损失

  • 需要访问泄漏的密钥/凭证的攻击

  • 需要访问特权地址的攻击(自治)。

智能合约和区块链

  • 第三方预言机提供的不正确价格数据

    • 不排除预言机操纵/闪电贷款攻击

  • 基本经济治理攻击(如51%攻击)

  • 缺少流动性

  • 最佳实践批评

  • 女巫攻击

  • 集中化风险

本漏洞赏金计划禁止以下活动:

  • 使用主网或公共测试网合约的任何测试;所有测试应在私人测试网上进行

  • 使用定价器或第三方智能合约的任何测试

  • 试图对我们的员工和/或客户进行网络钓鱼或其他程序攻击

  • 任何与第三方系统和应用程序(如浏览器扩展)以及网站(如SSO供应商,广告网络)的测试

  • 任何拒绝服务的攻击

  • 对产生大量流量的服务进行自动测试

  • 公开披露禁运赏金中未修补的漏洞

Last updated