本页内容由 AI 自动翻译,所有内容以英文版本为准。查看英文版 →
Raydium 运营一个活跃的漏洞赏金计划,仅涵盖链上程序代码 — 即
reference/program-addresses 中列出的程序 ID 对应的 Solana 智能合约。该计划自 2023 年 4 月 25 日起在 Immunefi 上线。赏金根据严重程度和经济影响而定,最高可达关键级别的 $505,000。SDK、REST API 和前端(raydium.io)不属于赏金范围。 这些部分的问题不会获得赏金,但仍欢迎报告 — 请参阅下方的非赏金报告(SDK / API / UI)了解联系方式。本页是关于赏金涵盖内容、如何报告以及响应流程预期的权威信息来源。范围
赏金范围内(有奖励)
赏金仅适用于已部署的链上程序代码:- 已部署的程序,位于
reference/program-addresses中的程序 ID:- AMM v4(
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM(
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM(
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM(
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab(
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn(
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4(
- 智能合约 CPI 可组合性漏洞,即组合程序正确使用 Raydium 程序导致 Raydium 程序本身出现故障的情况。
赏金范围外(欢迎报告 — 见下文)
- Raydium SDK v2(npm 上的
@raydium-io/raydium-sdk-v2)。 - REST API(API 参考标签中列出的所有主机 —
api-v3.raydium.io、transaction-v1.raydium.io、launch-*-v1.raydium.io等)。 - 前端(
raydium.io)— 包括 XSS、CSRF、身份验证流程漏洞、钱包欺骗、UI 状态破损。 - 离链索引器、图像 / IPFS 网关和任何其他为 UI 提供数据的基础设施。
完全不在范围内(不符合资格)
- 与 Raydium 组合的第三方程序(向其团队报告)。
- 通过 Raydium 路由的第三方聚合器(如 Jupiter)。
- 非 Raydium 维护的离链工具(Python 社区 SDK、第三方机器人等)。
- 针对 Raydium 团队成员的社会工程攻击。
- 任何需要验证者端合谋或多数权益攻击的发现(这是 Solana 层级问题,不是 DeFi 赏金目标)。
- 通过垃圾邮件攻击公共 RPC 端点的 DoS。
- 自动扫描工具输出,但没有可工作的概念验证。
- AMM v4 / OpenBook 依赖项 — 与 OpenBook 依赖项相关的漏洞不在范围内。AMM v4 已设置为状态 6,流动性不再共享到 OpenBook 市场。
- 已在先前安全审计中标记的发现不符合资格:CLMM 的 Ottersec 审计,以及混合 AMM 程序的 Kudelski、Ottersec 和 MadShield 审计。重新报告已披露的问题不会获得赏金。
- CLMM 收益领取失败(设计所致) — CLMM 向 LP 发出交易费和农业收益代币。如果攻击者耗尽了金库或费用代币,用户将无法领取收益,交易会失败。这是设计所致,不被视为漏洞。
灰色地带 — 先讨论
- MEV 抗性原语中与外部基础设施交互的漏洞。
- Token-2022 集成边界情况,其中”正确”行为不明确。
- 不能清晰映射到代码漏洞的经济 / 博弈论攻击。
严重程度和奖励
报告使用 Immunefi 漏洞严重程度分类系统 V2.3 进行分类,采用规则优先模式:本页和 Immunefi 列表中的条款具有约束力,在有差异时优先于默认分类。奖励以美元计价,由 Raydium 团队以 RAY、SOL 或 USDC 支付。 智能合约奖励等级为:| 严重程度 | 奖励 |
|---|---|
| 关键 | 直接受影响资金的 10%,上限 $505,000,最低 $50,000 |
| 高 | $5,000–$40,000 |
| 中 | 固定 $5,000 |
关键奖励计算
对于主网资产,关键奖励为直接受影响资金的 10%,最高 $505,000。如果资金风险的 10% 低于 $50,000,报告仍获得 $50,000 最低奖励。上限和 10% 资金风险基础适用于关键智能合约报告。范围内的影响
赏金使用 Immunefi 的标准化影响分类法。给出 Raydium 特定的示例来说明每种影响如何映射到程序。 关键- 直接盗取任何用户资金,无论是静止还是流动中,除未领取的收益外 — 例如通过有效的 Raydium 指令耗尽用户的 LP 资金,或无限制地铸造 LP 代币。
- 永久冻结资金 — 例如破坏池会计导致资金永久无法恢复。
- 可能永久冻结用户资金或在没有用户交易批准的情况下盗取或冻结资金的漏洞 — 例如绕过程序升级权限,或盗取所有协议费用的漏洞。
- 盗取未领取的收益 — 例如从农场或 CLMM 头寸盗取待领取的奖励。
- 永久冻结未领取的收益。
- 任何时间段内的临时冻结资金 — 例如冻结用户头寸使其无法通过恶意交易关闭。
- 可能临时冻结用户资金或故意改变用户资金价值的漏洞 — 例如操纵池数学或绕过滑点保护。
- 由于缺少代币资金导致智能合约无法运行。
- 为获利而进行的区块填充。
- 骚扰(攻击者无利可图,但对用户或协议造成损害)— 例如可被骚扰的 DoS,导致池上的所有交换都回滚。
- 盗取 gas。
- 无限制的 gas 消耗。
联系方式
主要:Immunefi
Raydium 的漏洞赏金列在 Immunefi 上。通过 Immunefi 平台报告:- 创建 Immunefi 账户。
- 导航到 Raydium 赏金页面。
- 提交包含完整 PoC 的发现。所有严重程度都需要概念验证 — 不接受解释和陈述,需要可工作的代码。关键和高级报告还应包括建议的修复。
- 报告处理迅速 — 该计划的中位解决时间约为 1 天。
替代方案:电子邮件提交
赏金范围内的发现也可以通过电子邮件而不是(或除了)Immunefi 提交:security@raydium.iosecurity@reactorlabs.io
直接(针对关键、时间敏感的发现)
如果发现正在被主动利用或即将发生,且你无法等待 Immunefi 分类,最快的次要路径是:- 直接电子邮件至
security@raydium.io或security@reactorlabs.io— 最快的方式直接联系团队;在主题行中标记为活跃漏洞。 - Immunefi 的紧急按钮在赏金页面上 — 在工作时间内数分钟内升级。
- 通过 Immunefi 的加密联系 — Immunefi 可以向 Raydium 团队转发端到端加密消息。
非赏金报告(SDK / API / UI)
对于赏金范围外的组件中的问题 — SDK、REST API、raydium.io 前端或任何离链基础设施 — 没有赏金,但团队仍想听到这些问题。使用:
- 电子邮件:
security@raydium.io或security@reactorlabs.io用于任何具有安全含义的问题(XSS、CSRF、身份验证流程泄露、签名消息重放、钱包欺骗、API 暴露的敏感数据等)。如果漏洞敏感,使用团队的 PGP 密钥加密;在电子邮件中询问,团队会交换密钥。 - GitHub 问题:用于 SDK、文档或任何 Raydium 维护的开源仓库中的非安全功能漏洞。在相关仓库上开启问题(例如
raydium-io/raydium-sdk-V2)。 - Discord(
discord.gg/raydium):适合不涉及安全的低影响 UI / UX 反馈。不要发布任何可能在陌生人读到时启用漏洞利用的内容。
- 确认在几个工作日内的响应。
- 跨仓库协调如果修复跨越程序和 SDK。
- 公开致谢(经你同意)在相关变更日志或发布说明中。
- 实质性发现的重复报告者有时会被邀请加入贡献者计划;该路径与链上赏金分开,根据情况提供。
- 按严重程度的分级赏金。赏金仅适用于程序代码发现。
- 下方安全港政策的保护 — 该政策特别指赏金范围内的研究。对于 SDK / API / UI 测试,遵循正常的负责任披露惯例和标准服务条款。
参与规则
应该做
- 仅在主网或公共测试网的本地分叉上测试。所有概念验证工作必须在本地分叉上完成。
- 在报告中包含可工作的 PoC(所有严重程度都需要)。
- 根据你的最佳知识估计经济影响。
- 提议修复 — 关键和高级报告需要。
不应该做
- 在主网或公共测试网部署的代码上测试。 任何此类测试都被禁止;仅使用本地分叉。
- 使用定价预言机或第三方智能合约进行测试,或与第三方系统、应用程序、浏览器扩展或网站进行测试。
- 在修复部署前公开披露漏洞(在禁运赏金中公开披露未修补的漏洞被禁止)。
- 运行生成大量流量的自动化测试,或对项目资产的任何拒绝服务攻击。
- 尝试对 Raydium 团队成员或用户进行网络钓鱼或其他社会工程。
- 同时通过多个渠道提交相同的发现 — 选择 Immunefi 或电子邮件,不能两者都选,也不能通过公共 DM。
响应时间表
该计划的中位解决时间约为 1 天(根据公开的 Immunefi 列表)。下面的阶段表示报告如何进展;确切的 SLA 由 Immunefi 列表和分类流程管理,而不是本页:| 阶段 | 指示时间 |
|---|---|
| 初始分类 | 约 1 天(中位数) |
| 严重程度分类 | 几个工作日 |
| 修复开发 | 取决于严重程度 + 复杂性 |
| 修复部署 | 受链上程序时间锁约束 |
不要公开披露的内容
在修复部署且 Raydium 团队与你协调披露之前:- 不要在推特上发布关于该发现的内容(即使是模糊的”我发现了什么大事”)。
- 不要向第三方描述漏洞类别。
- 不要与 Raydium 分类团队之外的任何人分享 PoC 代码。
- 欢迎并鼓励公开文章。
- Raydium 将交叉推广实质性文章。
- 同意被命名的研究人员将被列入 Immunefi 白帽名人堂。
安全港政策
在上述范围和规则内进行的研究被明确授权。Raydium:- 不会对遵循本政策的善意研究采取法律行动。
- 不会干扰研究活动(例如,将研究人员钱包列入黑名单)。
- 将在理解发现方面进行协作。
值得注意的过去披露
程序代码赏金的汇总统计,该赏金自 2023 年 4 月 25 日起在 Immunefi 上线(数据来自公开的 Immunefi 列表):- 迄今为止支付的总奖励:约 $3.4M。
- 中位解决时间:约 1 天。
相关计划
- Solana Foundation 漏洞赏金 — 涵盖 Solana 验证者客户端漏洞(sealevel、共识)。在那里报告 Solana 层级问题。solana.com/security。
- Squads Protocol 漏洞赏金 — 涵盖多签本身。squads.so/security。
- Immunefi — 涵盖许多 DeFi 协议,包括 Raydium。immunefi.com。
指针
security/audits— 先前的审计历史。security/admin-and-multisig— 权限结构。security/attack-vectors— 已知的攻击类别。
- Immunefi Raydium 赏金页面 — 规范范围、赏金条款和联系方式。

