Ana içeriğe atla

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

Bu sayfa yapay zekâ tarafından otomatik olarak çevrilmiştir. İngilizce sürüm esas alınır.İngilizce sürümü görüntüle →
Denetimler bazı hata sınıflarını (bilinen saldırı desenleri, erişim denetimi hatları, tamsayı taşması) yakalar, başkalarını kaçırır (ekonomik tasarım kusurları, oyun teorik manipülasyon, diğer programlarla entegrasyon hataları). Raydium’un programlarının her biri birden fazla denetim turundan geçmiş; bu sayfa bunları listeler ve her denetimin aslında neyi doğruladığını açıklar.

Program başına denetim tablosu

ProgramDenetçiTarihRapor
Order-book AMMKudelski Security2021 Q2Görüntüle
Yoğunlaştırılmış likidite (CLMM)OtterSec2022 Q3Görüntüle
Güncellenmiş order-book AMMOtterSec2022 Q3Görüntüle
StakingOtterSec2022 Q3Görüntüle
Order-book AMM & OpenBook geçişiMadShield2023 Q2Görüntüle
Sabit-ürün AMM (CPMM)MadShield2024 Q1Görüntüle
Burn & Earn (likidite kilidi)Halborn2024 Q4Görüntüle
LaunchLabHalborn2025 Q2Görüntüle
CPMM (güncelleme)Sec32025 Q3Görüntüle
CLMM güncellemesi — Limit Order, Dynamic Fee, Single Asset FeeSec32026 Q2Görüntüle
Neodyme ekibinin üyeleri hata ödülü anlaşmaları yoluyla kapsamlı incelemeler de yapmıştır. Raydium programlarının tüm denetim raporları github.com/raydium-io/raydium-docs/audit/ altında yansıtılmaktadır. Her denetçi ayrıca kendi sitesinde yayınlamaktadır.

Denetimlerin kapsamı

Tipik bir Raydium denetimi (~3–6 hafta, 2 denetçi) şunları kapsar:
  • Erişim denetimi — her ayrıcalıklı işlem doğru şekilde korunuyor mu?
  • Aritmetik — taşma, yetersiz doldurma, yuvarlama yönü, sabit nokta hassasiyeti.
  • Hesap doğrulama — her hesap doğru sahibi, mint, yetkiye sahip mi?
  • Yeniden giriş benzeri desenler — durum bir CPI’den önce mi yoksa sonra mı güncellenmetiyor?
  • PDA türetme — tohumlar tüm yerlerde tutarlı mı?
  • Hata kodları ve mesajları — hata koşulları temiz bir şekilde geri dönüyor mu?
  • Kod kalitesi — deyimsel Rust, ölü kod, ulaşılamayan dallar.

Denetimlerin kapsamadığı

  • Ekonomik oyun teorisi — örn. “1000 havuz ücretsiz oluşturabilirsem, router’ı rahatsız edebilir miyim?”
  • MEV / sıralama — sandwich saldırıları, doğrulayıcı işbirliği yoluyla ön yükleme.
  • Zincir dışı altyapı — RPC güvenilirliği, indeksleyici doğruluğu, ön uç.
  • Diğer programlarla entegrasyon — yalnızca belirli kredi, opsiyon veya toplayıcı sözleşmelerle oluşturulduktan sonra ortaya çıkan hatalar.
  • Zaman içinde ortaya çıkan davranışlar — 10 milyon pozisyondan sonra ne olur? Denetimler küçük ölçekli test durumlarına bakıyor.
Bu yüzden denetim ≠ güvenlik garantisi. Raydium denetimleri hata ödülleri, izleme ve savunmacı mühendislikle tamamlar.

Bulgu çözüm durumu

Her denetim bir bulguların listesini üretir (kritik / yüksek / orta / düşük / bilgilendirici), ciddiyet sayıları ve denetim başına durum (Sabitlendi / Kabul Edildi / Yapılmayacak). Denetim başına ayrıntılar burada çoğaltılmaz — yukarıdaki tablo aracılığıyla her raporu doğrudan okuyun.

Önemli değişikliklerden sonra yeniden denetim

Bir program önemli bir yükseltme (yeni talimat, yeni hesap alanı, yeni uzantı desteği) yayınladığında, Raydium bir yeniden denetim sipariş eder. Yukarıdaki tabloda listelenen Sec3 2025 Q3 CPMM incelemesi ve Sec3 2026 Q2 CLMM incelemesi (Limit Order, Dynamic Fee, Single Asset Fee) her ikisi de bu tür yeniden denetimlerdir. Yeniden denetim kapsamı daha dar (sadece diff), ancak gerçekten bir yeniden denetim — sadece bir kod incelemesi değil. Yeniden denetim raporları birincil denetim raporuna eklenir.

Zincir üzerinde doğrulama

Dağıtılmış program hash’ı denetlenen kod hash’ıyla eşleşmelidir. Herkes şunları doğrulayabilir: 
# Dağıtılmış program bayt kodunu çek.
solana program dump <PROGRAM_ID> program.so

# Repo'yu denetlenen commit'te oluştur.
git clone https://github.com/raydium-io/raydium-cp-swap
cd raydium-cp-swap
git checkout <audited_commit_hash>
anchor build --verifiable

# Karşılaştır.
sha256sum program.so target/deploy/raydium_cp_swap.so
Anchor doğrulanabilir derlemeler belirleyici bayt kod üretir; hash’lar tam olarak eşleşmelidir. Eşleşmezlerse, dağıtılmış program denetlenen program değildir — eskalasyon yapınız. Raydium, repo sürümleri bölümünde dağıtım başına beklenen hash’ları yayınlar.

Denetim raporu nasıl okunur

Denetçi olmayan kişiler için kısa bir kılavuz:
  1. Bulgu özetine atlayın — ciddiyet sayılarının bir tablosu. “Kritik” sayısı >0 ise ve “Açık” durumunu görürseniz, derinlemesine inceyin.
  2. Her bulgunun açıklamasını ve durumunu okuyun. “Commit XYZ’de sabitlendi” çözüldü anlamına gelir; “Kabul Edildi” takım riski kabul etti anlamına gelir; “Kısmen sabitlendi” yakından bakılmaya değer.
  3. Kapsam bölümünü tarayın. Denetim önemsediğiniz talimatı veya hesabı kapsamıyorsa, oradaki bulgu olmaması güvenlik kanıtı değildir.
  4. Denetçinin önerileri bölümünü hızlıca okuyun. Bulgulardan çoğu zaman daha kullanışlı — “bunu resmi olarak kanıtlayamadığımız ama endişelendik” notlarını ortaya çıkarır.

Hata ödülü entegrasyonu

Denetimler dağıtım öncesi çalışır; hata ödülleri dağıtım sonrası sürekli çalışır. Raydium’un ödül programı (security/disclosure) denetimlerin kapsadığı her şeyi ve ayrıca şunları kapsar:
  • Denetimlerin kapsamadığı ekonomik saldırılar.
  • Yeni entegrasyonlarda bulunan hatalar.
  • SDK’lar ve zincir dışı bileşenlerdeki uygulama hataları.
Bir beyaz şapka bulgusu tipik olarak bir sonraki denetim döngüsünü beklemekten daha hızlı ödeme alır; teşvikler hızlı ifşa etmek için uyumludur. Aktif program Immunefi’de barındırılmaktadır: immunefi.com/bug-bounty/raydium/information.

Tarihsel olaylar

Raydium’un programlarının iki önemli gerçek dünya olayı vardır:

Havuz yetkisi açığı (Aralık 2022)

Ne: AMM v4 havuz yetkisi özel anahtarı gizli alındı, saldırganın birden fazla havuzdan para çekmesine izin verdi. Kapsam: İşletme anahtarı yönetimi, program hatası değil. Denetim kodu işaretlemedi çünkü kod doğruydu; anahtar yönetimi süreci arızaydı. Düzeltme: Multisig geçişi (tüm yetki rolleri Squads multisig’e taşındı); ek işletme kontrolları. Ders: Denetimler anahtar yönetimini kapsamaz. Bkz. security/admin-and-multisig.

OpenBook entegrasyon dondurması (Ocak 2023)

Ne: Bir OpenBook program güncellemesi hesap semantiğini değiştirdi; AMM v4’ün MonitorStep crank’ı AMM v4 yaması sevk edilene kadar PnL’yi kapatamadı. Kapsam: Entegrasyon hatası — hiçbir program izolasyon halinde yanlış değildi. Düzeltme: AMM v4 yaması ve koordineli dağıtım. Ders: Program A’nın denetimi program A’nın program B ile entegrasyonundaki hataları yakalmaz. Doğru araç entegrasyon testi + aşamalı geçişlerdir.

İşaretçiler

Kaynaklar: