Chuyển đến nội dung chính

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

Trang này được dịch tự động bằng AI. Phiên bản tiếng Anh là bản chính thức.Xem bản tiếng Anh →
Raydium điều hành một chương trình bug-bounty tích cực chỉ bao gồm mã chương trình on-chain — các smart contract Solana tại các program ID được liệt kê trong reference/program-addresses. Tiền thưởng có quy mô theo mức độ nghiêm trọng và tác động kinh tế, lên tới $500,000 ở đầu mức độ tới hạn.SDK, REST API, và frontend (raydium.io) không phải là một phần của bounty. Các vấn đề đó không được thanh toán, nhưng báo cáo vẫn được hoan nghênh — xem Báo cáo không phải bounty (SDK / API / UI) dưới đây để biết đường dây liên hệ.Trang này là nguồn thông tin chính thức về những gì bounty bao gồm, cách báo cáo, và những gì bạn có thể mong đợi từ quy trình phản hồi.

Phạm vi

Trong phạm vi bounty (được thanh toán)

Bounty áp dụng chỉ cho mã chương trình on-chain được triển khai:
  • Các chương trình được triển khai tại các program ID trong reference/program-addresses:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • Các lỗi CPI composability của smart contract khi một chương trình hợp soạn sử dụng đúng một chương trình Raydium khiến chương trình Raydium hoạt động sai.

Không trong phạm vi bounty (được hoan nghênh để báo cáo — xem dưới đây)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) trên npm.
  • REST API (mọi host được liệt kê trong tab API Referenceapi-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, v.v.).
  • Frontend (raydium.io) — bao gồm XSS, CSRF, lỗi luồng xác thực, spoofing ví, trạng thái UI bị hỏng.
  • Các indexer ngoài chuỗi, cổng image / IPFS, và bất kỳ cơ sở hạ tầng nào khác cung cấp dữ liệu vào UI.
Những điều này không được thanh toán. Báo cáo vẫn được hoan nghênh và hữu ích — gửi chúng qua Kênh không phải bounty dưới đây.

Ngoài phạm vi (không đủ điều kiện)

  • Các chương trình bên thứ ba hợp soạn với Raydium (báo cáo cho các đội của họ).
  • Các trình tổng hợp bên thứ ba định tuyến qua Raydium (ví dụ: Jupiter).
  • Các công cụ ngoài chuỗi không được Raydium duy trì (SDK cộng đồng trong Python, bot của bên thứ ba, v.v.).
  • Các cuộc tấn công kỹ thuật xã hội chống lại các thành viên nhóm Raydium.
  • Bất kỳ phát hiện nào yêu cầu thông đồng phía validator hoặc các cuộc tấn công có số dư đa số (đây là lớp Solana, không phải là mục tiêu bounty DeFi).
  • DoS thông qua spam các endpoint RPC công cộng.
  • Các đầu ra từ công cụ quét tự động mà không có một bằng chứng khái niệm hoạt động.

Vùng xám — thảo luận trước

  • Lỗi trong các nguyên thủy chống MEV tương tác với cơ sở hạ tầng bên ngoài.
  • Các trường hợp biên tích hợp Token-2022 trong đó hành vi “chính xác” là không rõ ràng.
  • Các cuộc tấn công kinh tế / lý thuyết trò chơi không ánh xạ gọn gàng với lỗi mã.
Khi không chắc chắn, hãy báo cáo.

Bảng xếp hạng mức độ nghiêm trọng

Tiền thưởng dựa trên sự kết hợp của mức độ nghiêm trọngtác động kinh tế. Ví dụ cho mỗi mức:

Tới hạn — $100,000–$500,000

  • Rút hết tiền LP của bất kỳ người dùng nào thông qua một lệnh Raydium hợp lệ.
  • Mint không giới hạn của mã thông báo LP.
  • Bỏ qua quyền cập nhật chương trình.
  • Lỗi lấy tất cả các khoản phí giao thức.
  • Làm cho kế toán của pool sai lệch vĩnh viễn theo cách làm hỏng các LP trong tương lai.

Cao — $25,000–$100,000

  • Lấy cắp các phần thưởng đang chờ xử lý từ các nông trại hoặc vị trí CLMM.
  • Đóng băng vị trí của người dùng (họ không thể đóng nó) thông qua một giao dịch độc hại.
  • Thao tác toán học pool sao cho có thể trích xuất có lợi nhuận với vốn vừa phải.
  • Bỏ qua bảo vệ slippage.

Trung bình — $5,000–$25,000

  • DoS có thể gây khó chịu cho một pool cụ thể (tất cả các lần hoán đổi revert).
  • Lỗi làm tròn có hệ thống ưu tiên các kẻ tấn công, tổng hợp trên nhiều lần hoán đổi.
  • Kế toán phí sai lệch có lợi cho một số người dùng với chi phí của những người khác.
  • Sự hỏng hóc mảng tick CLMM yêu cầu can thiệp thủ công của quản trị viên để sửa chữa.

Thấp — $500–$5,000

  • Các lỗi tiết lộ thông tin (tiếp lộ trạng thái không công khai).
  • Các lỗi xử lý lỗi làm cho chẩn đoán khó khăn hơn.
  • Các trường hợp biên revert một cách sạch sẽ nhưng nên được xử lý một cách nhân văn.
  • Lỗi đánh máy trong các thông báo lỗi gây ra nhầm lẫn.

Thông tin — Không thanh toán (nhưng có ghi nhận)

  • Các đề xuất cải thiện chất lượng mã.
  • Những cải tiến tài liệu.
  • Tối ưu hóa khí đốt mà không có ý nghĩa an ninh.

Bộ nhân tác động kinh tế

Đối với các lỗi đủ tiêu chuẩn mức, tiền thưởng được trọng số thêm bằng:
  • Tiềm năng tổn thất trực tiếp — bao nhiêu TVL thực tế có thể trích xuất?
  • Khả năng khai thác — liệu nó có thể được gọi một cách tầm thường hay cần các điều kiện tiên quyết cụ thể?
  • Khả năng tái lập — exploit có hoạt động mỗi lần hay chỉ trong các điều kiện hiếm gặp?
Một lỗi mức độ tới hạn ảnh hưởng đến pool $10M được trả thêm so với một lỗi mức độ tới hạn ảnh hưởng đến pool $100k, mặc dù cả hai đều tới hạn.

Đường dây liên hệ

Chính: Immunefi

Bug bounty của Raydium được liệt kê trên Immunefi. Báo cáo qua nền tảng Immunefi:
  1. Tạo tài khoản Immunefi.
  2. Điều hướng đến trang bounty Raydium.
  3. Gửi phát hiện với PoC đầy đủ.
  4. Phân loại thường xảy ra trong 24 giờ.
Immunefi xử lý escrow và thanh toán khi phát hiện được xác nhận.

Trực tiếp (đối với các phát hiện tới hạn, nhạy cảm về thời gian)

Nếu phát hiện đang bị khai thác hoặc sắp xảy ra và bạn không thể chờ để phân loại Immunefi, đường dẫn thứ cấp nhanh nhất là:
  • Nút khẩn cấp của Immunefi trên trang bounty — nâng cấp trong vài phút trong giờ làm việc.
  • Liên hệ được mã hóa thông qua Immunefi — Immunefi có thể chuyển tiếp một thông báo được mã hóa từ đầu này sang đầu khác đến nhóm Raydium.
Tránh các kênh công cộng (X / Twitter, Telegram, Discord) để báo cáo an ninh — việc tiết lộ chính nó có thể kích hoạt khai thác. Sử dụng Immunefi cho cả báo cáo và bất kỳ đường dẫn liên hệ trực tiếp nào được thiết lập sau đó.

Báo cáo không phải bounty (SDK / API / UI)

Đối với các vấn đề trong các thành phần bên ngoài bounty — SDK, REST API, frontend raydium.io, hoặc bất kỳ cơ sở hạ tầng ngoài chuỗi nào — không có thanh toán, nhưng nhóm vẫn muốn nghe về chúng. Sử dụng:
  • Email: security@raydium.io cho bất kỳ điều gì có ý nghĩa an ninh (XSS, CSRF, rò rỉ luồng xác thực, phát lại thông báo được ký, spoofing ví, dữ liệu nhạy cảm được tiếp lộ bởi API, v.v.). Mã hóa bằng khóa PGP của nhóm nếu lỗi nhạy cảm; hỏi trong email và nhóm sẽ trao đổi khóa.
  • Các vấn đề GitHub: đối với các lỗi chức năng không liên quan đến an ninh trong SDK, tài liệu, hoặc bất kỳ repo mã nguồn mở nào do Raydium duy trì. Mở một vấn đề trên kho lưu trữ có liên quan (ví dụ: raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): tốt cho phản hồi UI / UX tác động thấp không chạm đến an ninh. Không đăng bất cứ điều gì có thể cho phép khai thác nếu được đọc bởi một người lạ.
Những gì bạn nhận được từ các báo cáo không phải bounty:
  • Ghi nhận trong phản hồi trong vài ngày làm việc.
  • Phối hợp xuyên repo nếu sửa chữa kéo dài trên chương trình và SDK.
  • Công khai ghi công (với sự đồng ý của bạn) trong changelog hoặc ghi chú phát hành có liên quan.
  • Những người báo cáo lặp đi lặp lại các phát hiện có ý nghĩa đôi khi được mời tham gia chương trình cộng tác viên; con đường đó tách biệt khỏi bounty on-chain và được cung cấp theo cơ sở tùy ý.
Những gì bạn không nhận được:
  • Thanh toán có quy mô, bất kể mức độ nghiêm trọng. Bounty là dành cho những phát hiện mã chương trình.
  • Bảo vệ theo chính sách cảng an toàn dưới đây — chính sách đó cụ thể đề cập đến nghiên cứu phạm vi bounty. Để kiểm tra SDK / API / UI, hãy tuân theo các quy ước tiết lộ có trách nhiệm thông thường và các điều khoản dịch vụ tiêu chuẩn.

Quy tắc tham gia

Làm

  • Sử dụng tiền của riêng bạn trên mainnet cho bằng chứng khái niệm (số tiền nhỏ).
  • Phát triển chống lại devnet hoặc validator mainnet được phân nhánh khi có thể.
  • Bao gồm một PoC hoạt động trong báo cáo.
  • Ước tính tác động kinh tế theo kiến thức tốt nhất của bạn.
  • Đề xuất sửa chữa nếu bạn có ý tưởng trong đầu.

Không làm

  • Công khai tiết lộ lỗ hổng trước khi sửa chữa được triển khai.
  • Cố gắng rút nhiều tiền hơn cần thiết để chứng minh lỗi.
  • Tiến hành các cuộc tấn công chống lại tiền của những người dùng khác.
  • Gửi phát hiện tương tự trên nhiều nền tảng (Immunefi, Twitter DM, email).
  • Cố gắng kỹ thuật xã hội chống lại các thành viên nhóm Raydium.
  • Kiểm tra xác thực hoặc DoS chống lại cơ sở hạ tầng raydium.io.
Các vi phạm các quy tắc này làm mất hiệu lực bounty.

Dòng thời gian phản hồi

Giai đoạnThời gian mục tiêu
Phân loại ban đầu≤ 24 giờ
Phân loại mức độ nghiêm trọng≤ 3 ngày làm việc
Phát triển sửa chữa1–30 ngày (phụ thuộc vào mức độ nghiêm trọng + độ phức tạp)
Triển khai sửa chữaTuân theo timelock 24h cho các chương trình on-chain
Thanh toán14 ngày sau triển khai sửa chữa
Đối với các phát hiện tới hạn, đường dẫn sửa chữa tăng tốc: nhóm triệu tập multisig 3/4 ngay lập tức, soạn thảo sửa chữa, gửi để xem xét, xếp hàng cho triển khai được timelocked. Bạn có thể mong đợi cập nhật mỗi 24 giờ trong khi phản hồi tới hạn.

Những gì không nên công khai

Cho đến khi sửa chữa được triển khai và nhóm Raydium đã phối hợp tiết lộ với bạn:
  • Đừng tweet về phát hiện (thậm chí mơ hồ “Tôi đã tìm thấy cái gì đó lớn”).
  • Đừng mô tả lớp lỗi cho các bên thứ ba.
  • Đừng chia sẻ mã PoC với bất kỳ ai bên ngoài nhóm phân loại Raydium.
Sau triển khai sửa chữa + cửa sổ tiết lộ được phối hợp:
  • Bài viết công khai được hoan nghênh và khuyến khích.
  • Raydium sẽ quảng bá chéo các bài viết có ý nghĩa.
  • Các nhà nghiên cứu đồng ý được đặt tên được ghi công trên bảng xếp hạng Immunefi Raydium.

Chính sách cảng an toàn

Nghiên cứu được tiến hành trong phạm vi và quy tắc trên được phép rõ ràng. Raydium:
  • Sẽ không theo đuổi hành động pháp lý đối với nghiên cứu lành tâm tuân theo chính sách này.
  • Sẽ không can thiệp vào các hoạt động nghiên cứu (ví dụ: danh sách đen ví nhà nghiên cứu).
  • Sẽ hợp tác để hiểu phát hiện.
Nghiên cứu ngoài phạm vi hoặc quy tắc không được bảo vệ bởi cảng an toàn. Nếu kế hoạch nghiên cứu của bạn ở biên giới, hãy hỏi qua kênh “Ask Project” của Immunefi trước khi kiểm tra.

Các công khai đáng chú ý trong quá khứ

Thống kê tổng hợp cho bounty mã chương trình kể từ khi chương trình bắt đầu (2021):
  • 200+ báo cáo phạm vi được gửi trên tất cả các mức độ nghiêm trọng.
  • 18 phát hiện mức độ tới hạn được thanh toán, với tổng cộng ~$2M.
  • 60+ phát hiện mức độ cao được thanh toán.
  • Thời gian phản hồi trung bình (phân loại ban đầu): 8 giờ.
  • 0 tiết lộ công khai vượt qua quy trình phối hợp.
Hall of Fame liệt kê những nhà nghiên cứu đã đồng ý được đặt tên. Các báo cáo không phải bounty (SDK / API / UI) được theo dõi riêng và được ghi nhận trong ghi chú phát hành của kho lưu trữ có liên quan thay vì trên bảng xếp hạng Immunefi.

Các chương trình liên quan

  • Solana Foundation Bug Bounty — bao gồm các lỗi validator client Solana (sealevel, consensus). Báo cáo ở đó cho các vấn đề lớp Solana. solana.com/security.
  • Squads Protocol Bug Bounty — bao gồm multisig chính nó. squads.so/security.
  • Immunefi — bao gồm nhiều giao thức DeFi bao gồm Raydium. immunefi.com.
Một lỗi kéo dài các lớp (ví dụ: một lỗi validator Solana biểu hiện trên Raydium) phải được báo cáo cho tất cả các chương trình áp dụng.

Con trỏ

Nguồn: