Ana içeriğe atla

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

Bu sayfa yapay zekâ tarafından otomatik olarak çevrilmiştir. İngilizce sürüm esas alınır.İngilizce sürümü görüntüle →
Raydium aktif bir hata-ödül programı yürütmektedir yalnızca zincir üstü program kodunu kapsayanreference/program-addresses listesinde yer alan program kimliklerindeki Solana akıllı sözleşmeleri. Ödemeler önem derecesi ve ekonomik etkiye göre ölçeklendirilir ve kritik katmanın en üstünde $500.000’e kadar ulaşabilir. SDK, REST API’ları ve ön yüz (raydium.io) ödül kapsamına dahil değildir. Orada bulunan sorunlar ödeme almaz, ancak raporlar yine de hoş karşılanır — iletişim yolu için aşağıdaki Ödülsüz raporlar (SDK / API / UI) bölümüne bakınız. Bu sayfa, ödülün neyi kapsadığı, nasıl bildirileceği ve yanıt sürecinden ne bekleneceğine ilişkin tek yetkili kaynaktır.

Kapsam

Ödül kapsamına giren (ödenen)

Ödül yalnızca dağıtılan zincir üstü program koduna uygulanır:
  • Dağıtılan programlar reference/program-addresses listesindeki program kimliklerinde:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • Akıllı sözleşme CPI bileşebilirlik hataları — bileşen programın Raydium programını doğru kullanması, Raydium programının kendisinin kötü davranmasına neden olursa.

Ödül kapsamına girmeyen (bildirilmesi hoş karşılanır — aşağıya bakınız)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) npm üzerinde.
  • REST API’ları (API Referans sekmesinde listelenen her ana bilgisayar — api-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, vb.).
  • Ön yüz (raydium.io) — XSS, CSRF, kimlik doğrulama akışı hataları, cüzdan taklit, bozuk UI durumları dahil.
  • Zincir dışı indeksleyiciler, görüntü / IPFS ağ geçitleri ve UI’ye veri sağlayan diğer altyapı.
Bunlar ödeme almaz. Raporlar yine de hoş karşılanır ve yararlıdır — aşağıdaki Ödülsüz kanal üzerinden gönderiniz.

Kapsam dışı (hiç uygun değil)

  • Raydium ile bileşen olan üçüncü taraf programlar (bunları ilgili ekiplerine bildirin).
  • Raydium aracılığıyla yönlendiren üçüncü taraf toplayıcıları (ör. Jupiter).
  • Raydium tarafından yönetilmeyen zincir dışı araçlar (Python’da topluluk SDK’ları, üçüncü taraf botlar, vb.).
  • Raydium ekibi üyelerine karşı sosyal mühendislik saldırıları.
  • Doğrulayıcı tarafı gizli anlaşma veya çoğunluk hissesi saldırıları gerektiren herhangi bir bulgu (bu Solana katmanıdır, DeFi ödül hedefi değildir).
  • Genel RPC uç noktalarını spamlamak yoluyla DoS.
  • Çalışan konsept kanıtı olmayan otomatlı tarama aracı çıktıları.

Gri alan — önce tartışınız

  • MEV-dirençli ilkellerideki hatalar dış altyapıyla etkileşime girerken.
  • Token-2022 entegrasyonu kenar durumları “doğru” davranış belirsizse.
  • Kod hatasına temiz şekilde eşlenmeyen ekonomik / oyun-teorik saldırılar.
Belirsiz olduğunda, bildirme yönünde hata yapınız.

Önem derecesi rubriği

Ödemeler önem derecesi ve ekonomik etkinin bir karışımına dayanır. Her katman için örnekler:

Kritik — $100.000–$500.000

  • Geçerli bir Raydium talimatı aracılığıyla herhangi bir kullanıcının LP fonlarının tahliyesi.
  • LP tokenlarının sınırsız basımı.
  • Program yükseltme yetkisinin atlatılması.
  • Tüm protokol ücretlerini çal hatası.
  • Havuzun muhasebesi kalıcı olarak yanlış hale gelir — gelecekteki LP’leri bozar.

Yüksek — $25.000–$100.000

  • Çiftliklerde veya CLMM konumlarında beklenen ödülleri çalın.
  • Kötü niyetli bir tx aracılığıyla kullanıcı konumunun dondurulması (kapatamaz).
  • Havuz matematiğini yönetme — orta düzey sermaye ile kârlı çıkarma mümkündür.
  • Kaymayan koruma baypasından geçin.

Orta — $5.000–$25.000

  • Belirli bir havuzun Griefable DoS’u (tüm takaşlar geri döner).
  • Saldırganları sistematik olarak favori gösteren yuvarlama hataları, birçok takaş üzerinde toplanmış.
  • Ücret yanlış muhasebesi — bazı kullanıcılara diğerlerinin zararına yarar sağlar.
  • CLMM tick-array bozulması — onarım için manuel yönetici müdahalesi gerektirir.

Düşük — $500–$5.000

  • Bilgi açıklaması hataları (kamuya açık olmayan durumu açığa çıkartma).
  • Tanılamayı zorlaştıran hata işleme kusurları.
  • Temiz şekilde geri dönmeli ama nazikçe kullanılabilmeliydi.
  • Kafa karışıklığına neden olan hata iletilerinde yazım hataları.

Bilgilendirme — Ödeme yok (ancak tanınma)

  • Kod kalitesi önerileri.
  • Belgelendirme iyileştirmeleri.
  • Güvenlik etkileri olmayan gaz optimizasyonları.

Ekonomik etkisi çarpanı

Katman nitelikli hatalar için ödeme ayrıca şu şekilde ağırlıklandırılır:
  • Doğrudan kayıp potansiyeli — pratik olarak ne kadar TVL çıkarılabilir?
  • Sömürülebilirlik — önemsiz mi çağrılabilir, yoksa belirli ön koşullar gerekli midir?
  • Tekrarlanabilirlik — istismar her zaman işler mi, yoksa yalnızca nadir koşullar altında mı?
$10M havuzu etkileyen kritik önem derecesi hatası, $100k havuzu etkileyen kritik önem derecesi hatasından daha fazla ödeme alır; her ikisi de kritik olmasına rağmen.

İletişim yolları

Birincil: Immunefi

Raydium’un hata ödülü Immunefi listesinde yer almaktadır. Immunefi platformu aracılığıyla bildirin:
  1. Immunefi hesabı oluşturun.
  2. Raydium ödül sayfasına gidin.
  3. Bulguyu tam PoC ile gönderin.
  4. Triage genellikle 24 saat içinde gerçekleşir.
Immunefi, bulgu doğrulandıktan sonra emanet ve ödemeyi ele alır.

Doğrudan (kritik, zamana duyarlı bulgular için)

Bulgu etkin şekilde istismar ediliyorsa veya Immunefi triage’ını bekleyemeyecek kadar yakın ve acil ise, en hızlı ikinci yol şudur:
  • Ödül sayfasındaki Immunefi’nin acil durum düğmesi — çalışma saatleri boyunca dakikalar içinde yükseltilir.
  • Immunefi aracılığıyla şifreli iletişim — Immunefi, uçtan uca şifreli bir iletiyi Raydium ekibine iletebilir.
Güvenlik raporları için genel kanallardan (X / Twitter, Telegram, Discord) kaçının — açıklama kendisi sömürüyü tetikleyebilir. Rapor için ve daha sonra kurulan herhangi bir doğrudan iletişim kanalı için Immunefi kullanınız.

Ödülsüz raporlar (SDK / API / UI)

Ödül dışındaki bileşenlerdeki sorunlar için — SDK, REST API’ları, raydium.io ön yüzü veya herhangi bir zincir dışı altyapı — ödeme yoktur, ancak ekip yine de bunları duymak istediğini görmek istemektedir. Şunları kullanınız:
  • E-posta: security@raydium.io güvenlik etkileri olan (XSS, CSRF, kimlik doğrulama akışı sızıntıları, imzalı ileti oynatması, cüzdan taklit, API tarafından açığa çıkarılan duyarlı veriler, vb.) her şey için. Hata hassasıysa ekip PGP anahtarı ile şifreleyin; e-postada sorunuz ve ekip anahtarları değiştireceğini söyleyin.
  • GitHub sorunları: SDK’daki, dokümantasyondaki veya herhangi bir Raydium tarafından yönetilen açık kaynak deposundaki güvenlik olmayan işlevsel hatalar için. İlgili havuzda bir sorun açın (ör. raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): güvenliğe dokunmayan düşük etkili UI / UX geri bildirimi için sorun yok. Acemi bir kişi tarafından okunursa istismarı etkinleştirebilecek hiçbir şey göndermeyiniz.
Ödülsüz raporlardan ne alırsınız:
  • Bildirimi birkaç iş günü içinde yanıt olarak.
  • Repo arası koordinasyon eğer düzeltme program ve SDK’ya yayılırsa.
  • Genel kredi (rızanızla) ilgili değişim günlüğü veya sürüm notlarında.
  • İleri bildirimlerin tekrar bildireceği araştırmacılar bazen bir katkı programına davet edilir; bu yol zincir üstü ödülden ayrıdır ve takdir temelinde sunulur.
Ne almadığınız:
  • Önem derecesine bakılmaksızın ölçekli ödeme. Ödül, program kodu bulguları içindir.
  • Aşağıdaki güvenli liman politikası kapsamı — bu politika özellikle ödül kapsamı araştırmasını tanımlar. SDK / API / UI testi için normal sorumlu açıklama kurallarını ve standart hizmet şartlarını takip ediniz.

İş yapışı kuralları

Yapınız

  • Konsept kanıtı için mainnet’te kendi fonlarınızı kullanınız (küçük miktarlar).
  • Devnet veya forklanan mainnet doğrulayıcısına karşı geliştirme yapınız.
  • Raporda çalışan bir PoC dahil ediniz.
  • Ekonomik etkiyi bilginizin en iyi şekline göre tahmin ediniz.
  • Aklınızda bir çözüm varsa öneriniz.

Yapmayınız

  • Düzeltme dağıtılmadan önce açıkça açığa çıkarmayınız.
  • Hatayı göstermek için gerekenden daha fazla fonu çıkarmaya teşebbüs etmeyiniz.
  • Diğer kullanıcıların fonlarına karşı saldırılar yürütmeyiniz.
  • Aynı bulguyu birden çok platformda sunmayınız (Immunefi, Twitter DM, e-posta).
  • Raydium ekibi üyelerine karşı sosyal mühendisliğe teşebbüs etmeyiniz.
  • raydium.io altyapısına karşı kimlik doğrulaması veya DoS test etmeyiniz.
Bu kuralların ihlalleri ödülü geçersiz kılmaktadır.

Yanıt zaman çizelgesi

FazHedef zaman
İlk triage≤ 24 saat
Önem derecesi sınıflandırması≤ 3 iş günü
Düzeltme geliştirme1–30 gün (önem derecesi + karmaşıklığa bağlıdır)
Düzeltme dağıtılmasıZincir üstü programlar için 24s timelock’a tabiidir
ÖdemeDüzeltme dağıtılmasından 14 gün sonra
Kritik bulgular için, düzeltme parçası hızlanır: ekip, 3/4 çoklu imzayı hemen toplantıya çağırır, düzeltme taslağı yapıp gözden geçirmeye sunarsa, zaman kilitli dağıtımı kuyruğa alır. Kritik bir yanıt sırasında 24 saatte bir güncellemeleri bekleyebilirsiniz.

Kamuya açıklamayacak şeyler

Düzeltme dağıtılıncaya ve Raydium ekibi sizinle açıklama koordinasyonu yapıncaya kadar:
  • Bulgu hakkında tweet atmayınız (hatta belirsiz “büyük bir şey buldum”).
  • Hata sınıfını üçüncü taraflara açıklamayınız.
  • PoC kodunu Raydium’un triage ekibi dışında kimseyle paylaşmayınız.
Düzeltme dağıtılmasından + koordine açıklama penceresinden sonra:
  • Genel yazı-oluş hoş karşılanır ve teşvik edilir.
  • Raydium, önemli yazı-oluşları çapraz tanıtacaktır.
  • İsimleri açıklanmayı kabul eden araştırmacılar Immunefi Raydium liderlik tablosu üzerinde kredisi verilir.

Güvenli liman politikası

Yukarıdaki kapsam ve kurallar dahilinde yapılan araştırma açıkça yetkilidir. Raydium:
  • Bu politikayı takip eden iyi niyetli araştırma için yasal işlem yapmayacaktır.
  • Araştırma faaliyetlerine müdahale etmeyecektir (ör. araştırmacı cüzdanlarını kara listeye almayacaktır).
  • Bulguyu anlamada işbirliği yapacaktır.
Kapsam veya kurallar dışında yapılan araştırma, güvenli liman politikası tarafından korunmamaktadır. Araştırma planınız sınırda ise, test etmeden önce Immunefi’nin “Proje Soruştur” kanalı aracılığıyla sorunuz.

Önemli geçmiş açıklamalar

Program başlangıcından bu yana (2021) program kodu ödülü için toplanmış istatistikler:
  • Tüm önem derecesi katmanları arasında 200+ kapsam içi rapor sunulmuştur.
  • 18 kritik önem derecesi bulgusu ödendi, toplamda ~$2M.
  • 60+ yüksek önem derecesi bulgusu ödendi.
  • Ortalama yanıt süresi (ilk triage): 8 saat.
  • İsim vermeden geçen 0 kamu açıklaması.
Ünlü Şahıslar Listesi, açıklanmayı kabul eden araştırmacıları listeler. Ödülsüz raporlar (SDK / API / UI) ayrı olarak izlenir ve Immunefi liderlik tablosu yerine ilgili deponun sürüm notlarında tanınır.

İlgili programlar

  • Solana Foundation Hata Ödülü — Solana doğrulayıcı istemci hataları kapsamında (sealevel, fikir birliği). Solana katmanı sorunları için oraya bildirin. solana.com/security.
  • Squads Protokolü Hata Ödülü — multisig’in kendisini kapsar. squads.so/security.
  • Immunefi — Raydium dahil birçok DeFi protokolünü kapsar. immunefi.com.
Katmanlar arasında yayılan bir hata (ör. Raydium’da kendisini gösteren bir Solana doğrulayıcısı hatası) tüm uygulanabilir programlara bildirilmelidir.

İşaretçiler

Kaynaklar: