本頁內容由 AI 自動翻譯,所有內容以英文版本為準。查看英文版 →
Raydium 運營一個活躍的漏洞賞金計畫,僅涵蓋鏈上程式碼 — 位於
reference/program-addresses 中列出的程式 ID 的 Solana 智能合約。該計畫自 2023 年 4 月 25 日起在 Immunefi 上線。支付額度根據嚴重程度和經濟影響而定,最高可達臨界等級的 $505,000。SDK、REST API 和前端(raydium.io)不在賞金範圍內。 這些地方的問題不會獲得支付,但仍歡迎回報 — 請參閱下方的非賞金回報(SDK / API / UI)以了解聯絡方式。本頁是關於賞金涵蓋內容、如何回報以及回應流程預期的權威來源。範圍
賞金範圍內(有償)
賞金僅適用於已部署的鏈上程式碼:- 已部署的程式,位於
reference/program-addresses中的程式 ID:- AMM v4(
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM(
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM(
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM(
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab(
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn(
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4(
- 智能合約 CPI 可組合性漏洞,其中組合程式對 Raydium 程式的正確使用導致 Raydium 程式本身出現故障。
不在賞金範圍內(歡迎回報 — 見下文)
- Raydium SDK v2(npm 上的
@raydium-io/raydium-sdk-v2)。 - REST API(API 參考標籤中列出的每個主機 —
api-v3.raydium.io、transaction-v1.raydium.io、launch-*-v1.raydium.io等)。 - 前端(
raydium.io)— 包括 XSS、CSRF、身份驗證流程漏洞、錢包欺騙、損壞的 UI 狀態。 - 鏈下索引器、圖像 / IPFS 閘道和任何其他為 UI 提供數據的基礎設施。
超出範圍(完全不符合資格)
- 與 Raydium 組合的第三方程式(向其團隊回報)。
- 通過 Raydium 路由的第三方聚合器(例如 Jupiter)。
- 非 Raydium 維護的鏈下工具(Python 社區 SDK、第三方機器人等)。
- 針對 Raydium 團隊成員的社交工程攻擊。
- 任何需要驗證器端共謀或多數質押攻擊的發現(這是 Solana 層級,不是 DeFi 賞金目標)。
- 通過垃圾郵件公共 RPC 端點進行的 DoS。
- 沒有可工作概念驗證的自動掃描工具輸出。
- AMM v4 / OpenBook 依賴項 — 與 OpenBook 依賴項相關的漏洞不在範圍內。AMM v4 設置為狀態 6,因此流動性不再共享到 OpenBook 市場。
- 先前安全審查中已標記的發現不符合資格:CLMM 的 Ottersec 審查,以及混合 AMM 程式的 Kudelski、Ottersec 和 MadShield 審查。重新報告已披露的問題不會獲得支付。
- CLMM 收益領取失敗(設計使然) — CLMM 向 LP 發出交易費用和農業收益代幣。如果攻擊者耗盡了金庫或費用代幣,用戶將無法領取收益,交易將失敗。這是設計使然,不被視為漏洞。
灰色地帶 — 先討論
- MEV 抵抗原語中與外部基礎設施交互的漏洞。
- Token-2022 集成邊界情況,其中「正確」行為不明確。
- 不能清晰映射到代碼漏洞的經濟 / 博弈論攻擊。
嚴重程度和獎勵
報告使用 Immunefi 漏洞嚴重程度分類系統 V2.3 進行分類,採用規則優先模式:本頁和 Immunefi 列表上的條款管轄,在有差異時優先於預設分類。獎勵以美元計價,由 Raydium 團隊以 RAY、SOL 或 USDC 支付。 智能合約獎勵等級為:| 嚴重程度 | 獎勵 |
|---|---|
| 臨界 | 直接受影響資金的 10%,上限 $505,000,最低 $50,000 |
| 高 | $5,000–$40,000 |
| 中 | 固定 $5,000 |
臨界獎勵計算
對於主網資產,臨界獎勵是直接受影響資金的 10%,最高 $505,000。如果資金風險的 10% 低於 $50,000,報告仍支付 $50,000 最低額度。上限和資金風險 10% 的基礎適用於臨界智能合約報告。範圍內的影響
賞金使用 Immunefi 的標準化影響分類法。提供 Raydium 特定的示例來說明每個影響如何映射到程式。 臨界- 直接盜竊任何用戶資金,無論是靜止還是流動中,除未領取的收益外 — 例如通過有效的 Raydium 指令耗盡用戶的 LP 資金,或無限制地鑄造 LP 代幣。
- 永久凍結資金 — 例如損壞池會計,使資金永久無法恢復。
- 可能永久凍結用戶資金或在沒有用戶交易批准的情況下耗盡或盜竊資金的漏洞 — 例如繞過程式升級權限,或全部盜竊協議費用的漏洞。
- 盜竊未領取的收益 — 例如從農場或 CLMM 頭寸盜竊待領獎勵。
- 永久凍結未領取的收益。
- 在任何時間段內臨時凍結資金 — 例如凍結用戶的頭寸,使其無法通過惡意交易關閉。
- 可能臨時凍結用戶資金或故意改變用戶資金價值的漏洞 — 例如操縱池數學或繞過滑點保護。
- 由於缺乏代幣資金導致智能合約無法運行。
- 為利潤進行的區塊填充。
- 騷擾(攻擊者沒有利潤動機,但對用戶或協議造成損害)— 例如可騷擾的 DoS,其中池上的所有交換都會還原。
- 盜竊 gas。
- 無限制的 gas 消耗。
聯絡方式
主要:Immunefi
Raydium 的漏洞賞金列在 Immunefi 上。通過 Immunefi 平台回報:- 建立 Immunefi 帳戶。
- 導航到 Raydium 賞金頁面。
- 提交發現及完整的 PoC。所有嚴重程度都需要概念驗證 — 不接受解釋和陳述,需要可工作的代碼。臨界和高級報告還應包括建議的修復。
- 報告處理迅速 — 該計畫的中位解決時間約為 1 天。
替代方案:電子郵件提交
賞金範圍內的發現也可以通過電子郵件而不是(或除了)Immunefi 提交:security@raydium.iosecurity@reactorlabs.io
直接(針對臨界、時間敏感的發現)
如果發現正在被主動利用或即將發生,且你無法等待 Immunefi 分類,最快的次要路徑是:- 直接電子郵件至
security@raydium.io或security@reactorlabs.io— 直接聯繫團隊的最快路徑;在主題行中標記為主動利用。 - Immunefi 的緊急按鈕在賞金頁面上 — 在營業時間內數分鐘內升級。
- 通過 Immunefi 的加密聯絡 — Immunefi 可以將端到端加密消息轉發給 Raydium 團隊。
非賞金回報(SDK / API / UI)
對於賞金範圍外的組件中的問題 — SDK、REST API、raydium.io 前端或任何鏈下基礎設施 — 沒有支付,但團隊仍想聽到這些問題。使用:
- 電子郵件:
security@raydium.io或security@reactorlabs.io用於任何具有安全含義的問題(XSS、CSRF、身份驗證流程洩露、簽名消息重放、錢包欺騙、API 暴露的敏感數據等)。如果漏洞敏感,使用團隊的 PGP 密鑰加密;在電子郵件中詢問,團隊將交換密鑰。 - GitHub 問題:用於 SDK、文檔或任何 Raydium 維護的開源倉庫中的非安全功能漏洞。在相關倉庫上開啟問題(例如
raydium-io/raydium-sdk-V2)。 - Discord(
discord.gg/raydium):適合不涉及安全的低影響 UI / UX 反饋。不要發佈任何可能在陌生人閱讀時啟用利用的內容。
- 確認在幾個工作日內的回應。
- 跨倉庫協調如果修復跨越程式和 SDK。
- 公開信用(經你同意)在相關的變更日誌或發行說明中。
- 實質性發現的重複報告者有時被邀請加入貢獻者計畫;該路徑與鏈上賞金分開,根據情況提供。
- 按嚴重程度的按比例支付。賞金適用於程式碼發現。
- 下方安全港政策的保護 — 該政策特別指賞金範圍內的研究。對於 SDK / API / UI 測試,遵循正常的負責任披露慣例和標準服務條款。
參與規則
應該做
- 僅在主網或公共測試網的本地分叉上測試。所有概念驗證工作必須在本地分叉上完成。
- 在報告中包括可工作的 PoC(所有嚴重程度都需要)。
- 根據你的最佳知識估計經濟影響。
- 提出修復建議 — 臨界和高級報告需要。
不應該做
- 在主網或公共測試網部署的代碼上測試。 任何此類測試都被禁止;僅使用本地分叉。
- 使用定價預言機或第三方智能合約進行測試,或使用第三方系統、應用程式、瀏覽器擴展或網站。
- 在修復部署前公開披露漏洞(在禁運賞金中公開披露未修補的漏洞被禁止)。
- 運行生成大量流量的自動化測試,或針對項目資產的任何拒絕服務攻擊。
- 嘗試對 Raydium 團隊成員或用戶進行網絡釣魚或其他社交工程。
- 同時通過多個管道提交相同的發現 — 選擇 Immunefi 或電子郵件,不能兩者都選,絕不通過公開 DM。
回應時間表
該計畫的中位解決時間約為 1 天(根據公開 Immunefi 列表)。下面的階段表示報告如何進展;確切的 SLA 由 Immunefi 列表和分類流程管轄,而不是本頁:| 階段 | 指示時間 |
|---|---|
| 初始分類 | 約 1 天(中位數) |
| 嚴重程度分類 | 幾個工作日 |
| 修復開發 | 取決於嚴重程度 + 複雜性 |
| 修復部署 | 受鏈上程式時間鎖限制 |
不要公開披露的內容
在修復部署且 Raydium 團隊與你協調披露之前:- 不要在推特上發佈關於該發現的內容(即使是模糊的「我發現了一些大事」)。
- 不要向第三方描述漏洞類別。
- 不要與 Raydium 分類團隊以外的任何人分享 PoC 代碼。
- 歡迎並鼓勵公開文章。
- Raydium 將交叉推廣實質性文章。
- 同意被命名的研究人員在 Immunefi 白帽名人堂中獲得信用。
安全港政策
在上述範圍和規則內進行的研究被明確授權。Raydium:- 不會對遵循本政策的善意研究採取法律行動。
- 不會干擾研究活動(例如,將研究人員錢包列入黑名單)。
- 將協作理解該發現。
值得注意的過去披露
程式碼賞金的彙總統計,自 2023 年 4 月 25 日起在 Immunefi 上線(數據來自公開 Immunefi 列表):- 迄今為止支付的總獎勵:約 $3.4M。
- 中位解決時間:約 1 天。
相關計畫
- Solana Foundation 漏洞賞金 — 涵蓋 Solana 驗證器客戶端漏洞(sealevel、共識)。在那裡報告 Solana 層級問題。solana.com/security。
- Squads Protocol 漏洞賞金 — 涵蓋多簽本身。squads.so/security。
- Immunefi — 涵蓋許多 DeFi 協議,包括 Raydium。immunefi.com。
指針
security/audits— 先前的審計歷史。security/admin-and-multisig— 權限結構。security/attack-vectors— 已知的攻擊類別。
- Immunefi Raydium 賞金頁面 — 規範範圍、支付條款和聯絡方式。

