跳轉到主要內容

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

本頁內容由 AI 自動翻譯,所有內容以英文版本為準。查看英文版 →
Raydium 運營一個活躍的漏洞賞金計畫,僅涵蓋鏈上程式碼 — 即位於 reference/program-addresses 中列出之程式 ID 的 Solana 智能合約。賞金根據嚴重性和經濟影響進行調整,在最高的關鍵等級可達 $500,000。SDK、REST API 和前端(raydium.io)不在賞金範圍內。 這些地方的問題不會獲得賞金,但我們仍然歡迎報告 — 請參閱下面的非賞金報告(SDK / API / UI)了解聯絡方式。本頁是關於賞金涵蓋內容、報告方式以及預期回應流程的權威資訊來源。

涵蓋範圍

在賞金範圍內(有獎勵)

賞金僅適用於已部署的鏈上程式碼
  • 已部署的程式位於 reference/program-addresses 中的程式 ID:
    • AMM v4(675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8
    • CPMM(CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C
    • CLMM(CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK
    • 穩定 AMM(5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h
    • LaunchLab(LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn(LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE
    • AMM Routing
  • 智能合約 CPI 可組合性漏洞,其中一個組合程式對 Raydium 程式的正確使用導致 Raydium 程式本身出現錯誤行為。

不在賞金範圍內(歡迎報告 — 見下方)

  • Raydium SDK v2(npm 上的 @raydium-io/raydium-sdk-v2)。
  • REST APIAPI 參考標籤中列出的所有主機 — api-v3.raydium.iotransaction-v1.raydium.iolaunch-*-v1.raydium.io 等)。
  • 前端raydium.io)— 包括 XSS、CSRF、身份驗證漏洞、錢包仿冒、損壞的 UI 狀態。
  • 離鏈索引器、圖像 / IPFS 網關及任何其他向 UI 提供資料的基礎設施
這些不會獲得賞金。報告仍然受歡迎並有幫助 — 請透過下方的非賞金管道提交。

超出範圍(完全不符合資格)

  • 與 Raydium 組合的第三方程式(向其團隊報告)。
  • 透過 Raydium 路由的第三方聚合器(例如 Jupiter)。
  • 非 Raydium 維護的離鏈工具(Python 社群 SDK、第三方機器人等)。
  • 針對 Raydium 團隊成員的社會工程攻擊。
  • 任何需要驗證器端串謀或多數質押攻擊的發現(這是 Solana 層面,不是 DeFi 賞金目標)。
  • 透過轟炸公開 RPC 端點進行的拒絕服務。
  • 沒有工作概念驗證的自動化掃描工具輸出。

灰色地帶 — 先討論

  • MEV 抵抗機制中與外部基礎設施互動的漏洞。
  • Token-2022 集成邊界情況,其中「正確」行為存在歧義。
  • 經濟 / 博弈論攻擊,不能清晰地對應到程式碼漏洞。
如有不確定,應傾向於報告。

嚴重性評級

賞金基於嚴重性經濟影響的組合確定。各等級範例:

關鍵 — $100,000–$500,000

  • 透過有效的 Raydium 指令排光任何使用者的 LP 資金。
  • LP 代幣的無限制鑄造。
  • 繞過程式升級權限。
  • 竊取所有協議費用的漏洞。
  • 使資金池的帳戶永久性錯誤,以至於破壞未來的 LP。

高 — $25,000–$100,000

  • 從農場或 CLMM 頭寸竊取待領獎勵。
  • 透過惡意交易凍結使用者的頭寸(他們無法關閉)。
  • 操縱資金池數學,使得能夠用適度資本進行有利可圖的提取。
  • 繞過滑點保護。

中 — $5,000–$25,000

  • 特定資金池的可騷擾拒絕服務(所有交換都還原)。
  • 系統性偏向攻擊者的捨入誤差,在許多交換中累積。
  • 費用記帳錯誤,使某些使用者受益於其他使用者的損失。
  • CLMM 標記陣列損壞,需要手動管理員干預來修復。

低 — $500–$5,000

  • 資訊揭露漏洞(暴露非公開狀態)。
  • 錯誤處理缺陷,使診斷更加困難。
  • 乾淨還原但應該優雅處理的邊界情況。
  • 錯誤訊息中的打字錯誤,導致混淆。

資訊性 — 無賞金(但有確認)

  • 程式碼品質建議。
  • 文件改進。
  • 沒有安全影響的氣體優化。

經濟影響乘數

對於符合等級要求的漏洞,賞金進一步由以下因素加權:
  • 直接損失潛力 — 實際上可以提取多少 TVL?
  • 可利用性 — 它是否可以輕易呼叫,還是需要特定的前提條件?
  • 可重現性 — 漏洞是每次都能運作,還是僅在罕見情況下運作?
影響 $10M 資金池的關鍵嚴重性漏洞支付額度高於影響 $100k 資金池的關鍵嚴重性漏洞,儘管兩者都是關鍵等級。

聯絡方式

主要:Immunefi

Raydium 的漏洞賞金列在 Immunefi 上。透過 Immunefi 平台報告:
  1. 建立 Immunefi 帳戶。
  2. 導航至 Raydium 賞金頁面。
  3. 使用完整的概念驗證提交發現。
  4. 分類通常在 24 小時內完成。
Immunefi 在確認發現後處理託管和賞金。

直接(針對關鍵、時間敏感的發現)

如果發現正在被主動利用或即將發生,且你無法等待 Immunefi 分類,最快的次要路徑是:
  • Immunefi 在賞金頁面上的緊急按鈕 — 在營業時間內幾分鐘內升級。
  • 透過 Immunefi 的加密聯絡 — Immunefi 可以向 Raydium 團隊中繼端到端加密訊息。
避免使用公開管道(X / Twitter、Telegram、Discord)進行安全報告 — 揭露本身可能觸發利用。使用 Immunefi 進行報告和之後建立的任何直接聯絡管道。

非賞金報告(SDK / API / UI)

對於在賞金範圍之外的元件中的問題 — SDK、REST API、raydium.io 前端或任何離鏈基礎設施 — 沒有賞金,但團隊仍然希望聽到它們。使用:
  • 電子郵件security@raydium.io 用於任何具有安全含義的問題(XSS、CSRF、身份驗證流洩漏、簽署訊息重播、錢包仿冒、API 暴露的敏感資料等)。如果漏洞敏感,請使用團隊的 PGP 金鑰加密;在電子郵件中要求,團隊會交換金鑰。
  • GitHub 問題:用於 SDK、文件或任何 Raydium 維護的開源儲存庫中的非安全功能性漏洞。在相關儲存庫上開啟問題(例如 raydium-io/raydium-sdk-V2)。
  • Discorddiscord.gg/raydium):適合低影響的 UI / UX 反饋,不涉及安全。不要發佈任何可能在陌生人閱讀時啟用漏洞的內容。
你從非賞金報告獲得的:
  • 確認在幾個工作日內的回應。
  • 跨儲存庫協調,如果修復跨越程式和 SDK。
  • 公開確認(有你的同意)在相關的變更日誌或發佈說明中。
  • 實質性發現的重複報告者有時會受邀參加貢獻者計畫;該路徑與鏈上賞金分開,並根據自由裁量提供。
你不獲得的:
  • 根據嚴重性的調整賞金。賞金適用於程式碼發現。
  • 下面安全港政策的覆蓋 — 該政策特別指賞金範圍內的研究。對於 SDK / API / UI 測試,遵循正常的負責任揭露慣例和標準服務條款。

參與規則

務必

  • 在主網上使用自己的資金進行概念驗證(小額)。
  • 在可能的情況下針對 devnet 或分叉的主網驗證器進行開發。
  • 在報告中包含工作的概念驗證。
  • 根據你的最佳知識估計經濟影響。
  • 如果你有想法,提出修復方案。

  • 在修復部署前公開揭露漏洞。
  • 嘗試提取超過必要的資金來演示漏洞。
  • 對其他使用者的資金進行攻擊。
  • 在多個平台上提交相同發現(Immunefi、Twitter DM、電子郵件)。
  • 嘗試對 Raydium 團隊成員進行社會工程。
  • 針對 raydium.io 基礎設施測試身份驗證或拒絕服務。
違反這些規則將使賞金失效。

回應時間表

階段目標時間
初始分類≤ 24 小時
嚴重性分類≤ 3 個工作日
修復開發1–30 天(取決於嚴重性 + 複雜性)
修復部署受限於鏈上程式 24 小時時間鎖
賞金修復部署後 14 天
對於關鍵發現,修復追蹤加速:團隊立即召集 3/4 多簽、起草修復、提交審查、列入時間鎖部署隊列。在關鍵回應期間,你可以預期每 24 小時更新一次。

公開揭露時不揭露的內容

在修復部署且 Raydium 團隊與你協調揭露之前:
  • 不要在推特上發佈關於該發現的內容(即使含糊其辭「我發現了大事」)。
  • 不要向第三方描述漏洞類別。
  • 不要與 Raydium 分類團隊以外的任何人分享概念驗證程式碼。
修復部署 + 協調揭露窗口之後:
  • 公開寫作受歡迎且受鼓勵。
  • Raydium 會交叉推廣實質性的寫作。
  • 同意被命名的研究人員在 Immunefi Raydium 排行榜上獲得認可。

安全港政策

在上述範圍和規則內進行的研究明確獲得授權。Raydium:
  • 不會對遵循此政策的善意研究採取法律行動。
  • 不會干擾研究活動(例如,將研究人員錢包入黑名單)。
  • 會協力了解該發現。
在範圍或規則之外進行的研究不受安全港保護。如果你的研究計畫處於灰色地帶,在測試前透過 Immunefi 的「詢問項目」管道詢問。

值得注意的過去揭露

自程式開始(2021)以來,程式碼賞金的彙總統計:
  • 200 多份符合範圍的報告在所有嚴重性等級提交。
  • 18 個關鍵嚴重性發現獲得賞金,總計約 $2M。
  • 60 多個高嚴重性發現獲得賞金。
  • 中位回應時間(初始分類):8 小時。
  • 0 個繞過協調流程的公開揭露。
名人堂列出同意被命名的研究人員。非賞金報告(SDK / API / UI)單獨追蹤,在相關儲存庫的發佈說明中確認,而不是在 Immunefi 排行榜上。

相關計畫

  • Solana Foundation 漏洞賞金 — 涵蓋 Solana 驗證器客戶端漏洞(sealevel、共識)。在那裡報告 Solana 層面的問題。solana.com/security
  • Squads Protocol 漏洞賞金 — 涵蓋多簽本身。squads.so/security
  • Immunefi — 涵蓋許多 DeFi 協議,包括 Raydium。immunefi.com
跨層的漏洞(例如在 Raydium 上表現出來的 Solana 驗證器漏洞)應向所有適用計畫報告。

指標

資料來源: