Перейти к основному содержанию

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

Эта страница переведена с помощью ИИ. За эталон принимается английская версия.Открыть английскую версию →
Raydium ведет активную программу bug-bounty, охватывающую только код программы на цепи — контракты Solana по идентификаторам программ, указанным в reference/program-addresses. Выплаты масштабируются в зависимости от серьезности и экономического воздействия, достигая до $500 000 на верхнем уровне критической категории.SDK, REST API и интерфейс (raydium.io) не входят в программу bounty. Проблемы там не приносят выплат, но отчеты по-прежнему приветствуются — см. раздел Отчеты без вознаграждения (SDK / API / UI) ниже для получения информации о контактном пути.Эта страница — авторитетный источник информации о том, что охватывает программа, как делать отчеты и чего ожидать от процесса обработки.

Объем

В объеме программы (с выплатой)

Программа bounty применяется только к развернутому коду программы на цепи:
  • Развернутые программы по идентификаторам программ в reference/program-addresses:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • Ошибки CPI-совместимости смарт-контрактов, когда правильное использование программы Raydium другой программой приводит к неправильной работе самой программы Raydium.

Вне объема программы (приветствуются отчеты — см. ниже)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) на npm.
  • REST API (каждый хост из списка API Referenceapi-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io и т. д.).
  • Интерфейс (raydium.io) — включая XSS, CSRF, ошибки в потоках аутентификации, подделку кошелька, нарушения в состояниях UI.
  • Офчейн-индексаторы, шлюзы изображений / IPFS и любая другая инфраструктура, которая предоставляет данные в интерфейс.
За эти ошибки выплат не предусмотрено. Отчеты по-прежнему приветствуются и полезны — отправляйте их через канал без вознаграждения ниже.

Вне области применения (полностью исключены)

  • Программы третьих сторон, взаимодействующие с Raydium (отправляйте отчеты их командам).
  • Агрегаторы третьих сторон, маршрутизирующие через Raydium (например, Jupiter).
  • Офчейн-инструменты, не поддерживаемые Raydium (SDK сообщества на Python, боты третьих сторон и т. д.).
  • Социальная инженерия против членов команды Raydium.
  • Любые находки, требующие сговора валидатора или атак большинством ставок (это слой Solana, а не целевой объект DeFi bounty).
  • DoS путем спама публичных RPC-эндпоинтов.
  • Выходные данные инструментов автоматического сканирования без рабочего proof-of-concept.

Серая зона — обсудите сначала

  • Ошибки в примитивах устойчивости к MEV, которые взаимодействуют с внешней инфраструктурой.
  • Граничные случаи интеграции Token-2022, где «правильное» поведение двусмысленно.
  • Экономические / теоретико-игровые атаки, которые не соответствуют четко ошибке кода.
Если сомневаетесь, наклонитесь в сторону сообщения.

Таблица серьезности

Выплаты основаны на сочетании серьезности и экономического воздействия. Примеры по уровню:

Критическая — $100 000–$500 000

  • Слив средств LP любого пользователя через корректную инструкцию Raydium.
  • Неограниченное создание токенов LP.
  • Обход органа обновления программы.
  • Ошибка, позволяющая украсть все комиссии протокола.
  • Перманентное нарушение бухгалтерии пула, испортившее будущих LP.

Высокая — $25 000–$100 000

  • Кража ожидающих вознаграждений с ферм или позиций CLMM.
  • Блокировка позиции пользователя (они не могут ее закрыть) через вредоносную трансакцию.
  • Манипуляция математикой пула для получения прибыльного извлечения с умеренным капиталом.
  • Обход защиты от проскальзывания.

Средняя — $5 000–$25 000

  • Подверженный атаке DoS конкретного пула (все своп-трансакции возвращают ошибку).
  • Ошибки округления, систематически благоприятствующие атакующим, накопленные на многих свопах.
  • Неправильный учет комиссии, наносящий ущерб некоторым пользователям в пользу других.
  • Повреждение массива тиков CLMM, требующее ручного вмешательства администратора для исправления.

Низкая — $500–$5 000

  • Ошибки раскрытия информации (раскрыть непубличное состояние).
  • Недостатки обработки ошибок, затрудняющие диагностику.
  • Граничные случаи, которые благополучно возвращают ошибку, но должны были быть обработаны хорошо.
  • Опечатки в сообщениях об ошибках, вызывающие путаницу.

Информационная — Без выплаты (но с признанием)

  • Предложения по улучшению качества кода.
  • Улучшения документации.
  • Оптимизация газа без проблем безопасности.

Множитель экономического воздействия

Для ошибок, соответствующих уровню, выплата дополнительно взвешивается по:
  • Потенциал прямого убытка — сколько TVL практически можно извлечь?
  • Эксплуатируемость — легко ли это вызвать, или требуются конкретные предусловия?
  • Воспроизводимость — работает ли эксплуатация каждый раз или только при редких условиях?
Критическая ошибка в пуле стоимостью $10M платит больше, чем критическая ошибка в пуле стоимостью $100k, хотя обе критические.

Каналы связи

Основной: Immunefi

Программа bug-bounty Raydium указана на Immunefi. Сообщайте через платформу Immunefi:
  1. Создайте аккаунт Immunefi.
  2. Перейдите на страницу программы Raydium.
  3. Отправьте находку с полным PoC.
  4. Сортировка обычно происходит в течение 24 часов.
Immunefi обрабатывает депозит и выплаты после подтверждения находки.

Прямой контакт (для критических, срочных находок)

Если находка активно эксплуатируется или неизбежна и вы не можете ждать сортировки Immunefi, самый быстрый вторичный путь:
  • Кнопка экстренного случая Immunefi на странице программы — эскалация в течение минут в рабочее время.
  • Зашифрованный контакт через Immunefi — Immunefi может передать сквозное зашифрованное сообщение команде Raydium.
Избегайте публичных каналов (X / Twitter, Telegram, Discord) для отчетов о безопасности — само раскрытие может спровоцировать эксплуатацию. Используйте Immunefi как для отчета, так и для любого канала прямого контакта, установленного впоследствии.

Отчеты без вознаграждения (SDK / API / UI)

Для проблем в компонентах вне программы bounty — SDK, REST API, интерфейс raydium.io или любая офчейн-инфраструктура — нет выплат, но команда по-прежнему хочет услышать о них. Используйте:
  • Email: security@raydium.io для чего-либо с проблемами безопасности (XSS, CSRF, утечки потока аутентификации, воспроизведение подписанного сообщения, подделка кошелька, чувствительные данные, раскрытые API и т. д.). Зашифруйте с помощью ключа PGP команды, если ошибка чувствительна; попросите в письме и команда обменяется ключами.
  • GitHub issues: для нефункциональных ошибок безопасности в SDK, документации или любом открытом репозитории, поддерживаемом Raydium. Откройте issue в соответствующем репозитории (например, raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): подходит для маловлиятельной обратной связи UI / UX, которая не касается безопасности. Не публикуйте ничего, что могло бы позволить эксплуатацию, если ее прочитает посторонний.
Что вы получаете от отчетов без вознаграждения:
  • Признание в ответе в течение нескольких рабочих дней.
  • Кросс-репозитористовая координация, если исправление охватывает программу и SDK.
  • Публичное признание (с вашего согласия) в соответствующем changelog или примечаниях к выпуску.
  • Повторяющиеся репортеры содержательных находок иногда приглашаются в программу участников; этот путь отделен от программы bounty на цепи и предлагается на дискреционной основе.
Что вы не получаете:
  • Масштабированную выплату, независимо от серьезности. Программа bounty предназначена для находок кода программы.
  • Покрытие в соответствии с политикой безопасного убежища ниже — эта политика конкретно относится к исследованиям в области bounty. Для тестирования SDK / API / UI следуйте нормальным соглашениям об ответственном раскрытии и стандартным условиям обслуживания.

Правила взаимодействия

Делайте

  • Используйте свои собственные средства на mainnet для proof-of-concept (небольшие суммы).
  • Разрабатывайте на devnet или на форкированном валидаторе mainnet по возможности.
  • Включайте работающий PoC в отчет.
  • Оценивайте экономическое воздействие в меру своих знаний.
  • Предлагайте исправление, если оно у вас есть.

Не делайте

  • Не раскрывайте уязвимость публично до развертывания исправления.
  • Не пытайтесь извлечь больше средств, чем необходимо для демонстрации ошибки.
  • Не проводите атаки на средства других пользователей.
  • Не отправляйте одну и ту же находку на нескольких платформах (Immunefi, Twitter DM, email).
  • Не пытайтесь использовать социальную инженерию против членов команды Raydium.
  • Не тестируйте аутентификацию или DoS против инфраструктуры raydium.io.
Нарушение этих правил аннулирует программу bounty.

График обработки

ФазаЦелевое время
Начальная сортировка≤ 24 часов
Классификация серьезности≤ 3 рабочих дня
Разработка исправления1–30 дней (зависит от серьезности + сложности)
Развертывание исправленияВ соответствии с 24-часовым таймлоком для программ на цепи
Выплата14 дней после развертывания исправления
Для критических находок трек исправления ускоряется: команда собирает 3 из 4 мультиподписей немедленно, разрабатывает исправление, отправляет на рецензию, ставит в очередь таймлокированное развертывание. Вы можете ожидать обновления каждые 24 часа во время критического ответа.

Что не раскрывать публично

До развертывания исправления и скоординированного раскрытия командой Raydium:
  • Не твитите о находке (даже неясно “я нашел что-то большое”).
  • Не описывайте класс ошибок третьим лицам.
  • Не делитесь кодом PoC с кем-либо вне команды сортировки Raydium.
После развертывания исправления + окна скоординированного раскрытия:
  • Публичные статьи приветствуются и поощряются.
  • Raydium будет кросс-продвигать содержательные статьи.
  • Исследователи, согласившиеся быть названными, получают кредит на таблице лидеров Immunefi Raydium.

Политика безопасного убежища

Исследования, проведенные в рамках указанной выше области и правил, явно разрешены. Raydium:
  • Не будет преследовать в судебном порядке добросовестные исследования, соответствующие этой политике.
  • Не будет вмешиваться в деятельность по исследованиям (например, черный список кошельков исследователей).
  • Будет сотрудничать в понимании находки.
Исследования вне области или правил не защищены политикой безопасного убежища. Если ваш план исследования пограничный, спросите через канал “Ask Project” Immunefi перед тестированием.

Примечательные прошлые раскрытия

Совокупная статистика по программе bounty кода программы с момента начала программы (2021):
  • 200+ отчетов в области действия, поданных по всем уровням серьезности.
  • 18 критических находок, выплачено, всего ~$2M.
  • 60+ высокосерьезных находок выплачено.
  • Медианное время ответа (начальная сортировка): 8 часов.
  • 0 публичных раскрытий, минующих скоординированный процесс.
Зал славы перечисляет исследователей, согласившихся быть названными. Отчеты без вознаграждения (SDK / API / UI) отслеживаются отдельно и признаются в примечаниях к выпускам соответствующего репозитория, а не в таблице лидеров Immunefi.

Связанные программы

  • Solana Foundation Bug Bounty — охватывает ошибки клиента валидатора Solana (sealevel, consensus). Сообщайте там о проблемах на слое Solana. solana.com/security.
  • Squads Protocol Bug Bounty — охватывает сам мультиподпис. squads.so/security.
  • Immunefi — охватывает многие протоколы DeFi, включая Raydium. immunefi.com.
Ошибка, охватывающая несколько слоев (например, ошибка валидатора Solana, которая проявляется в Raydium), должна быть отправлена всем применимым программам.

Ссылки

Источники: