跳转到主要内容

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

本页内容由 AI 自动翻译,所有内容以英文版本为准。查看英文版 →
Raydium 运营一个积极的漏洞赏金计划,仅覆盖链上程序代码 — 即 reference/program-addresses 中列出的程序 ID 对应的 Solana 智能合约。赏金按严重程度和经济影响规模,最高可达临界级别的 $500,000。SDK、REST API 和前端(raydium.io)不在赏金范围内。 这些位置的问题不会获得赏金,但我们仍然欢迎报告 — 请参阅下面的非赏金报告(SDK / API / UI)了解联系方式。本页是关于赏金涵盖内容、如何上报以及响应流程预期的权威来源。

范围

赏金范围内(有奖)

赏金仅适用于已部署的链上程序代码
  • 已部署程序reference/program-addresses 中列出的程序 ID:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • 智能合约 CPI 可组合性漏洞:使用 Raydium 程序的组合程序的正确使用导致 Raydium 程序本身出现故障。

赏金范围外(欢迎报告 — 见下文)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) 在 npm 上的版本。
  • REST APIAPI 参考选项卡中列出的所有主机 — api-v3.raydium.iotransaction-v1.raydium.iolaunch-*-v1.raydium.io 等)。
  • 前端 (raydium.io) — 包括 XSS、CSRF、认证流程漏洞、钱包欺骗、UI 状态破损。
  • 链下索引器、图像 / IPFS 网关以及任何其他为 UI 提供数据的基础设施
这些不会获得赏金。报告仍然欢迎并有帮助 — 请通过下面的非赏金渠道提交。

完全不在范围内(不符合条件)

  • 与 Raydium 组合的第三方程序(向其团队报告)。
  • 通过 Raydium 路由的第三方聚合器(如 Jupiter)。
  • 非 Raydium 维护的链下工具(Python 社区 SDK、第三方机器人等)。
  • 针对 Raydium 团队成员的社交工程攻击。
  • 需要验证器端共谋或多数质押攻击的任何发现(这是 Solana 层级,不是 DeFi 赏金目标)。
  • 通过垃圾邮件轰炸公共 RPC 端点的 DoS。
  • 没有可工作概念证明的自动扫描工具输出。

灰色地带 — 先讨论

  • 与外部基础设施交互的 MEV 抗性原语中的漏洞。
  • Token-2022 集成边界情况,其中”正确”行为不明确。
  • 不能完全映射到代码漏洞的经济 / 博弈论攻击。
如有疑问,请倾向于报告。

严重性分级

赏金基于严重程度经济影响的组合确定。每个层级的示例:

临界 — $100,000–$500,000

  • 通过有效的 Raydium 指令清空任何用户的 LP 资金。
  • 无限制铸造 LP 代币。
  • 绕过程序升级权限。
  • 偷取所有协议费用的漏洞。
  • 使池的会计永久错误,以破坏未来的 LP。

高 — $25,000–$100,000

  • 从农场或 CLMM 头寸偷取待领奖励。
  • 通过恶意交易冻结用户头寸(无法关闭)。
  • 操纵池数学,使得使用中等资本可能进行有利的提取。
  • 绕过滑点保护。

中 — $5,000–$25,000

  • 特定池的可骚扰 DoS(所有交换恢复)。
  • 系统性偏向攻击者的舍入错误,累积在多次交换中。
  • 使某些用户受益于他人损失的费用计算错误。
  • CLMM tick 数组损坏,需要手动管理员干预修复。

低 — $500–$5,000

  • 信息披露漏洞(暴露非公开状态)。
  • 使诊断更困难的错误处理缺陷。
  • 干净恢复但本应得到妥善处理的边界情况。
  • 导致混淆的错误消息中的拼写错误。

信息性 — 无赏金(但获得确认)

  • 代码质量建议。
  • 文档改进。
  • 没有安全影响的燃气优化。

经济影响乘数

对于符合层级资格的漏洞,赏金进一步加权考虑:
  • 直接损失潜力 — 实际上可以提取多少 TVL?
  • 可利用性 — 是否容易调用,还是需要特定前置条件?
  • 可重现性 — 漏洞每次都有效,还是仅在罕见情况下有效?
影响 $10M 池的临界严重程度漏洞支付比影响 $100k 池的临界严重程度漏洞更多,尽管两者都是临界。

联系方式

主要:Immunefi

Raydium 的漏洞赏金在 Immunefi 上列出。通过 Immunefi 平台报告:
  1. 创建 Immunefi 账户。
  2. 导航到 Raydium 赏金页面。
  3. 提交包含完整 PoC 的发现。
  4. 分类通常在 24 小时内完成。
Immunefi 在发现确认后处理托管和支付。

直接(用于临界、时间敏感的发现)

如果发现被主动利用或即将发生,且你无法等待 Immunefi 分类,最快的次要路径是:
  • Immunefi 赏金页面上的紧急按钮 — 在业务时间内几分钟内升级。
  • 通过 Immunefi 的加密联系 — Immunefi 可以将端到端加密消息转发给 Raydium 团队。
避免使用公共渠道(X / Twitter、Telegram、Discord)进行安全报告 — 披露本身可能触发利用。对报告和之后建立的任何直接联系渠道都使用 Immunefi。

非赏金报告(SDK / API / UI)

对于赏金范围外的组件中的问题 — SDK、REST API、raydium.io 前端或任何链下基础设施 — 没有赏金,但团队仍然想了解它们。使用:
  • 电子邮件security@raydium.io 对于任何有安全影响的内容(XSS、CSRF、认证流程泄露、签名消息重放、钱包欺骗、API 暴露的敏感数据等)。如果漏洞敏感,可以用团队的 PGP 密钥加密;在邮件中询问,团队将交换密钥。
  • GitHub Issues:对于 SDK、文档或任何 Raydium 维护的开源仓库中的非安全功能漏洞。在相关仓库上开启问题(例如 raydium-io/raydium-sdk-V2)。
  • Discord (discord.gg/raydium):对于不涉及安全的低影响 UI / UX 反馈可以。不要发布任何可能被陌生人读到时启用漏洞利用的内容。
你从非赏金报告中获得的:
  • 确认在几个工作日内的回应。
  • 跨仓库协调如果修复跨越程序和 SDK。
  • 公开致谢(经你同意)在相关变更日志或发行说明中。
  • 实质性发现的重复报告者有时被邀请参加贡献者计划;该路径与链上赏金分开,按自由裁量提供。
你不会获得的:
  • 按严重程度的扩展支付。赏金仅适用于程序代码发现。
  • 下面安全港政策下的保护 — 该政策特别指赏金范围内的研究。对于 SDK / API / UI 测试,遵循正常的负责任披露约定和标准服务条款。

参与规则

要做

  • 在主网上使用自己的资金进行概念证明(小额)。
  • 尽可能在 devnet 或 forked 主网验证器上开发。
  • 在报告中包含可工作的 PoC。
  • 尽力估计经济影响。
  • 如果你想到修复,提出建议。

不要

  • 在修复部署前公开披露漏洞。
  • 尝试提取超过必要的资金来演示漏洞。
  • 对其他用户的资金进行攻击。
  • 在多个平台上提交相同发现(Immunefi、Twitter DM、电子邮件)。
  • 尝试社交工程攻击 Raydium 团队成员。
  • 针对 raydium.io 基础设施进行认证或 DoS 测试。
违反这些规则将使赏金失效。

响应时间表

阶段目标时间
初始分类≤ 24 小时
严重性分类≤ 3 个工作日
修复开发1–30 天(取决于严重程度 + 复杂性)
修复部署链上程序受 24 小时时间锁限制
支付修复部署后 14 天
对于临界发现,修复轨道加快:团队立即召集 3/4 多签,起草修复,提交审查,排队时间锁定部署。在临界响应期间,你可以预期每 24 小时收到更新。

不要公开披露的内容

在修复部署且 Raydium 团队与你协调披露前:
  • 不要发推文讨论该发现(即使含糊”我发现了大东西”)。
  • 不要向第三方描述漏洞类别。
  • 不要与 Raydium 分类团队外的任何人共享 PoC 代码。
在修复部署 + 协调披露窗口后:
  • 欢迎并鼓励公开文章。
  • Raydium 将跨推广实质性文章。
  • 同意被命名的研究人员在 Immunefi Raydium 排行榜上获得荣誉。

安全港政策

在上述范围和规则内进行的研究被明确授权。Raydium:
  • 不会对遵循此政策的善意研究采取法律行动。
  • 不会干扰研究活动(例如将研究人员钱包加入黑名单)。
  • 将协作理解发现。
超出范围或规则的研究不受安全港保护。如果你的研究计划有疑问,在测试前通过 Immunefi 的”Ask Project”渠道询问。

值得注意的过去披露

自程序开始以来的程序代码赏金的汇总统计(2021):
  • 200+ 符合范围的报告跨所有严重程度层级提交。
  • 18 个临界严重程度发现获得赏金,总额约 $2M。
  • 60+ 个高严重程度发现获得赏金。
  • 中位响应时间(初始分类):8 小时。
  • 0 个绕过协调流程的公开披露。
名人堂列出同意被命名的研究人员。非赏金报告(SDK / API / UI)分别跟踪,并在相关仓库的发行说明中确认,而不是在 Immunefi 排行榜上。

相关计划

  • Solana Foundation 漏洞赏金 — 覆盖 Solana 验证器客户端漏洞(sealevel、共识)。在那里报告 Solana 层级问题。solana.com/security
  • Squads Protocol 漏洞赏金 — 覆盖多签本身。squads.so/security
  • Immunefi — 覆盖许多 DeFi 协议包括 Raydium。immunefi.com
跨越层级的漏洞(例如在 Raydium 上表现出来的 Solana 验证器漏洞)应报告给所有适用的计划。

指针

来源: