Bu sayfa yapay zekâ tarafından otomatik olarak çevrilmiştir. İngilizce sürüm esas alınır.İngilizce sürümü görüntüle →
Raydium, yalnızca zincir üstü program kodunu kapsayan etkin bir hata ödül programı yürütmektedir —
reference/program-addresses içinde listelenen program kimliklerindeki Solana akıllı sözleşmeleri. Program 25 Nisan 2023’ten beri Immunefi’de canlı durumdadır. Ödemeler ciddiyet ve ekonomik etki ile ölçeklenir ve kritik seviyenin en üstünde $505.000’a kadar ulaşır.SDK, REST API’leri ve ön uç (raydium.io) ödülün kapsamında değildir. Oradaki sorunlar ödeme almaz, ancak raporlar yine de hoş karşılanır — iletişim yolu için aşağıdaki Ödül dışı raporlar (SDK / API / UI) bölümüne bakınız.Bu sayfa, ödülün neyi kapsadığı, nasıl bildirim yapılacağı ve yanıt sürecinden ne beklenebileceğinin kaynağıdır.Kapsam
Ödül kapsamında (ödeme yapılır)
Ödül yalnızca dağıtılmış zincir üstü program koduna uygulanır:- Dağıtılmış programlar
reference/program-addressesiçindeki program kimliklerinde:- AMM v4 (
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM (
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM (
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM (
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab (
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn (
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4 (
- Akıllı sözleşme CPI bileşebilirlik hataları — bir bileşen programının Raydium programını doğru şekilde kullanması Raydium programının kendisinin yanlış davranmasına neden olduğu durumlar.
Ödül kapsamında değil (bildirmek hoş karşılanır — aşağıya bakınız)
- Raydium SDK v2 (
@raydium-io/raydium-sdk-v2) npm’de. - REST API’leri (API Referansı sekmesinde listelenen her ana bilgisayar —
api-v3.raydium.io,transaction-v1.raydium.io,launch-*-v1.raydium.io, vb.). - Ön uç (
raydium.io) — XSS, CSRF, kimlik doğrulama akışı hataları, cüzdan sahteciliği, bozuk UI durumları dahil. - Zincir dışı indeksleyiciler, görüntü / IPFS ağ geçitleri ve UI’ye veri sunan diğer altyapı.
Kapsam dışı (hiç uygun değil)
- Raydium ile bileşen olan üçüncü taraf programları (onların takımlarına bildirin).
- Raydium üzerinden yönlendiren üçüncü taraf toplayıcıları (örn. Jupiter).
- Raydium tarafından bakımı yapılmayan zincir dışı araçlar (Python’da topluluk SDK’ları, üçüncü taraf botlar, vb.).
- Raydium takım üyelerine karşı sosyal mühendislik saldırıları.
- Doğrulayıcı tarafı gizli anlaşması veya çoğunluk hissesi saldırıları gerektiren herhangi bir bulgu (bu Solana katmanı, DeFi ödül hedefi değil).
- Genel RPC uç noktalarına spam yaparak DoS.
- Çalışan bir kavram kanıtı olmayan otomatik tarama aracı çıktıları.
- AMM v4 / OpenBook bağımlılıkları — OpenBook bağımlılıklarına ilişkin hatalar kapsam dışıdır. AMM v4 Durum 6’ya ayarlanmıştır, bu nedenle likidite artık OpenBook pazarlarına paylaşılmamaktadır.
- Önceki güvenlik incelemelerinde zaten işaretlenmiş bulgular uygun değildir: CLMM’nin Ottersec incelemesi ve Hybrid AMM programının Kudelski, Ottersec ve MadShield incelemeleri. Zaten açıklanmış bir sorunu yeniden bildirmek ödeme almaz.
- CLMM verim talep başarısızlığı tasarım gereği — CLMM, ticaret ücreti ve tarım verimi jetonlarını LP’lere yayar. Bir saldırgan kasa veya ücret jetonlarını boşaltırsa, kullanıcılar verimi talep edemez ve işlemler başarısız olur. Bu tasarım gereğidir ve değil bir güvenlik açığı olarak kabul edilir.
Gri alan — önce tartışın
- MEV-direnci ilkellerindeki hatalar dış altyapı ile etkileşim kurar.
- “Doğru” davranışın belirsiz olduğu Token-2022 entegrasyon kenar durumları.
- Kod hatasına temiz şekilde eşlenmeyen ekonomik / oyun-teorik saldırılar.
Ciddiyet ve ödüller
Raporlar Immunefi Güvenlik Açığı Ciddiyet Sınıflandırma Sistemi V2.3 kullanılarak sınıflandırılır, Kuralların Önceliği modeli altında: bu sayfadaki şartlar ve Immunefi listesi yönetir ve farklı oldukları yerde varsayılan sınıflandırmaya göre öncelik alır. Ödüller USD cinsinden belirtilir ve Raydium takımı tarafından RAY, SOL veya USDC cinsinden ödenir. Akıllı sözleşme ödül seviyeleri:| Ciddiyet | Ödül |
|---|---|
| Kritik | Doğrudan etkilenen fonların %10’u, $505.000 ile sınırlı, $50.000 minimum ile |
| Yüksek | $5.000–$40.000 |
| Orta | Sabit $5.000 |
Kritik ödül hesaplaması
Ana ağ varlıkları için, kritik ödül doğrudan etkilenen fonların %10’u, maksimum $505.000’a kadar. Riskte olan fonların %10’u $50.000’ın altına düşerse, rapor yine de $50.000 minimum ödeme alır. Üst sınır ve riskte olan fonların %10’u temeli kritik akıllı sözleşme raporlarına uygulanır.Kapsam içi etkiler
Ödül, Immunefi’nin standartlaştırılmış etki taksonomisini kullanır. Raydium’a özgü örnekler, her etkinin programlara nasıl eşlendiğini göstermek için verilir. Kritik- Herhangi bir kullanıcı fonunun doğrudan çalınması, istirahat halinde veya hareket halinde, talep edilmemiş verim hariç — örn. geçerli bir Raydium talimatı aracılığıyla bir kullanıcının LP fonlarını boşaltmak veya sınırsız LP jetonlarının basılması.
- Fonların kalıcı olarak dondurulması — örn. havuz muhasebesi bozulması, fonlar kalıcı olarak kurtarılamaz hale gelir.
- Kullanıcı fonlarını kalıcı olarak dondurabilecek veya kullanıcı işlem onayı olmadan fonları boşaltabilecek veya çalabilecek güvenlik açıkları — örn. program yükseltme yetkisini atlamak veya tüm protokol ücretlerini çalma hatası.
- Talep edilmemiş verimin çalınması — örn. çiftliklerden veya CLMM pozisyonlarından bekleyen ödülleri çalmak.
- Talep edilmemiş verimin kalıcı olarak dondurulması.
- Herhangi bir süre için fonların geçici olarak dondurulması — örn. bir kullanıcının pozisyonunu dondurarak kötü niyetli bir tx aracılığıyla kapatamaması.
- Kullanıcı fonlarını geçici olarak dondurabilecek veya kullanıcı fonlarının değerini kasıtlı olarak değiştirebilecek güvenlik açıkları — örn. havuz matematiğini manipüle etmek veya kayma korumasını atlamak.
- Akıllı sözleşme, jeton fonlarının eksikliği nedeniyle çalışamaz.
- Kar için blok doldurma.
- Taciz (saldırganın kar motifi yok, ancak kullanıcılara veya protokole zarar) — örn. bir havuzdaki tüm swapların geri döndüğü taciz edilebilir DoS.
- Gaz çalınması.
- Sınırsız gaz tüketimi.
İletişim yolları
Birincil: Immunefi
Raydium’un hata ödülü Immunefi üzerinde listelenir. Immunefi platformu aracılığıyla bildirin:- Bir Immunefi hesabı oluşturun.
- Raydium ödül sayfasına gidin.
- Tam bir PoC ile bulguyu gönderin. Tüm ciddiyet seviyeleri için bir kavram kanıtı gereklidir — açıklamalar ve ifadeler kabul edilmez, çalışan kod gereklidir. Kritik ve Yüksek raporlar ayrıca önerilen bir düzeltme içermelidir.
- Raporlar hızlı şekilde işlenir — programın medyan çözüm süresi ~1 gündür.
Alternatif: e-posta gönderimi
Ödül kapsamı bulguları, Immunefi yerine (veya buna ek olarak) e-posta ile de gönderilebilir:security@raydium.iosecurity@reactorlabs.io
Doğrudan (kritik, zaman duyarlı bulgular için)
Bulgu aktif olarak istismar ediliyorsa veya yakın zamanda gerçekleşecekse ve Immunefi triajı için bekleyemezseniz, en hızlı ikincil yol:- Doğrudan e-posta
security@raydium.ioveyasecurity@reactorlabs.io— takıma doğrudan ulaşmanın en hızlı yolu; konu satırını aktif bir istismar olarak işaretleyin. - Immunefi’nin acil durum düğmesi ödül sayfasında — iş saatleri içinde dakikalar içinde yükseltir.
- Immunefi aracılığıyla şifreli iletişim — Immunefi, uçtan uca şifreli bir mesajı Raydium takımına iletebilir.
Ödül dışı raporlar (SDK / API / UI)
Ödülün dışındaki bileşenlerdeki sorunlar için — SDK, REST API’leri,raydium.io ön ucu veya herhangi bir zincir dışı altyapı — ödeme yoktur, ancak takım yine de bunları duymak ister. Kullanın:
- E-posta: güvenlik çıkarımları olan herhangi bir şey için
security@raydium.ioveyasecurity@reactorlabs.io(XSS, CSRF, kimlik doğrulama akışı sızıntıları, imzalı mesaj yeniden oynatma, cüzdan sahteciliği, API tarafından açığa çıkarılan hassas veriler, vb.). Hata hassassa takımın PGP anahtarı ile şifreleyin; e-postada sorun ve takım anahtarları değiştirecektir. - GitHub sorunları: SDK’daki, dokümanlar içindeki veya Raydium tarafından bakımı yapılan herhangi bir açık kaynak repo’daki güvenlik dışı işlevsel hatalar için. İlgili depo üzerinde bir sorun açın (örn.
raydium-io/raydium-sdk-V2). - Discord (
discord.gg/raydium): güvenliğe dokunmayan düşük etkili UI / UX geri bildirimi için iyidir. Bir yabancı tarafından okunursa istismarı etkinleştirebilecek herhangi bir şey yayınlamayın.
- Onay birkaç iş günü içinde yanıtta.
- Çapraz depo koordinasyonu düzeltme program ve SDK’yı kapsıyorsa.
- Genel kredi (izniniz ile) ilgili değişiklik günlüğü veya sürüm notlarında.
- Önemli bulguların tekrar raporlayanları bazen bir katkıda bulunan programa davet edilir; bu yol zincir üstü ödülden ayrıdır ve takdir edilir.
- Ciddiyet ne olursa olsun ölçekli bir ödeme. Ödül program kodu bulguları içindir.
- Aşağıdaki güvenli liman politikası kapsamında kapsam — bu politika özel olarak ödül kapsamı araştırmasına atıfta bulunur. SDK / API / UI testi için, normal sorumlu açıklama kurallarını ve standart hizmet şartlarını izleyin.
Katılım kuralları
Yapın
- Yalnızca ana ağın yerel bir çatalında veya genel testnet’te test edin. Tüm kavram kanıtı çalışması yerel çatallar üzerinde yapılmalıdır.
- Rapora çalışan bir PoC ekleyin (tüm ciddiyet seviyeleri için gerekli).
- Ekonomik etkiyi bilginiz en iyi şekilde tahmin edin.
- Bir düzeltme önerileri — Kritik ve Yüksek raporlar için gerekli.
Yapmayın
- Ana ağ veya genel testnet dağıtılmış kodunda test edin. Böyle bir test yasaktır; yalnızca yerel çatalları kullanın.
- Fiyatlandırma orakülleri veya üçüncü taraf akıllı sözleşmeleri veya üçüncü taraf sistemleri, uygulamaları, tarayıcı uzantılarını veya web sitelerini test edin.
- Güvenlik açığını bir düzeltme dağıtılmadan önce herkese açık şekilde açıklamayın (gizli bir ödülde yayınlanmamış bir hatanın genel açıklanması yasaktır).
- Önemli trafik üreten otomatik test çalıştırın veya proje varlıklarına karşı herhangi bir hizmet reddi saldırısı.
- Raydium takım üyeleri veya kullanıcılarına karşı kimlik avı veya diğer sosyal mühendislik girişimleri.
- Aynı bulguyu aynı anda birden fazla kanal üzerinden gönderin — Immunefi veya e-posta seçin, ikisi birden değil ve asla genel DM’ler aracılığıyla.
Yanıt zaman çizelgesi
Programın medyan çözüm süresi yaklaşık 1 gündür (genel Immunefi listesine göre). Aşağıdaki aşamalar, bir raporun nasıl ilerlediğinin göstergesidir; tam SLA’lar Immunefi listesi ve triaj süreci tarafından yönetilir, bu sayfa tarafından değil:| Aşama | Gösterge süresi |
|---|---|
| İlk triaj | ~1 gün (medyan) |
| Ciddiyet sınıflandırması | Birkaç iş günü |
| Düzeltme geliştirme | Ciddiyet + karmaşıklığa bağlı |
| Düzeltme dağıtımı | Zincir üstü program zaman kilidi tabi |
Herkese açık olarak açıklanmayacak şeyler
Bir düzeltme dağıtılana ve Raydium takımı sizinle açıklamayı koordine edene kadar:- Bulgu hakkında tweet atmayın (hatta belirsiz “Büyük bir şey buldum”).
- Hata sınıfını üçüncü şahıslara açıklamayın.
- PoC kodunu Raydium’un triaj takımı dışında kimseyle paylaşmayın.
- Genel yazılar hoş karşılanır ve teşvik edilir.
- Raydium, önemli yazıları çapraz olarak tanıtacaktır.
- İsimlendirilmeyi kabul eden araştırmacılar Immunefi Whitehat Hall of Fame üzerinde kredi alırlar.
Güvenli liman politikası
Yukarıdaki kapsam ve kurallar içinde yürütülen araştırma açıkça yetkilendirilir. Raydium:- Bu politikayı izleyen iyi niyetli araştırma için yasal işlem başlatmayacaktır.
- Araştırma faaliyetlerine müdahale etmeyecektir (örn. araştırmacı cüzdanlarını kara listeye almak).
- Bulguyu anlamak için işbirliği yapacaktır.
Dikkate değer geçmiş açıklamalar
Program kodu ödülü için toplu istatistikler, 25 Nisan 2023’ten beri Immunefi’de canlı (rakamlar genel Immunefi listesine göre):- Bugüne kadar ödenen toplam ödüller: ~$3.4M.
- Medyan çözüm süresi: ~1 gün.
İlgili programlar
- Solana Foundation Hata Ödülü — Solana doğrulayıcı istemci hatalarını kapsar (sealevel, konsensüs). Solana katmanı sorunları için oraya bildirin. solana.com/security.
- Squads Protocol Hata Ödülü — multisig’in kendisini kapsar. squads.so/security.
- Immunefi — Raydium dahil birçok DeFi protokolünü kapsar. immunefi.com.
İşaretçiler
security/audits— önceki denetim geçmişi.security/admin-and-multisig— yetki yapısı.security/attack-vectors— bilinen saldırı sınıfları.
- Immunefi Raydium ödül sayfası — kanonik kapsam, ödeme şartları ve iletişim yolu.

