1. OVERVIEW
Squid Router β ΡΡΠΎ ΠΊΡΠΎΡΡ-ΡΠ΅ΠΉΠ½ ΠΏΠ»Π°ΡΡΠΎΡΠΌΠ°, ΠΎΠ±Π΅ΡΠΏΠ΅ΡΠΈΠ²Π°ΡΡΠ°Ρ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡΠ²ΠΈΠ΅ ΠΌΠ΅ΠΆΠ΄Ρ 100+ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½Π°ΠΌΠΈ, 20,000+ ΡΠΎΠΊΠ΅Π½Π°ΠΌΠΈ ΠΈ 130+ ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠ°ΠΌΠΈ Π»ΠΈΠΊΠ²ΠΈΠ΄Π½ΠΎΡΡΠΈ. ΠΠ»Π°ΡΡΠΎΡΠΌΠ° ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΡΠΌ ΡΠΎΠ²Π΅ΡΡΠ°ΡΡ swap, send ΠΈ bridge ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΈ ΠΌΠ΅ΠΆΠ΄Ρ ΡΠ°Π·Π»ΠΈΡΠ½ΡΠΌΠΈ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½Π°ΠΌΠΈ ΡΠ΅ΡΠ΅Π· Π΅Π΄ΠΈΠ½ΡΠΉ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ.
2. IN-SCOPE ASSETS
2.1 Smart Contracts
ΠΡΠ΅ ΡΠΌΠ°ΡΡ-ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΡ, ΡΠ°Π·Π²Π΅ΡΠ½ΡΡΡΠ΅ Π½Π° Π²ΡΠ΅Ρ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΠΌΡΡ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½Π°Ρ :
Primary SquidRouter Contracts
ΠΡΠ½ΠΎΠ²Π½ΠΎΠΉ Π°Π΄ΡΠ΅Ρ (Π±ΠΎΠ»ΡΡΠΈΠ½ΡΡΠ²ΠΎ EVM ΡΠ΅ΠΏΠ΅ΠΉ):
Blast:
Fraxtal:
Alternate SquidRouter Contracts
ΠΠ΄ΡΠ΅Ρ: 0x2B4d4Cf15dAD79D3426D19674Bd237C1dc9144aa
Π¦Π΅ΠΏΠΈ: Berachain (80094), Citrea (4114), Gnosis (100), Hedera (295), HyperEVM (999), Mantra (5887), Monad (143), Peaq (3338), SagaEVM (5464), Soneium (1868), Sonic (146), Tempo (4217)
Core Contracts
SquidRouter.sol/SquidRouterProxy.sol- ΠΎΡΠ½ΠΎΠ²Π½ΠΎΠΉ ΡΠΎΡΡΠ΅Ρ Π΄Π»Ρ ΠΎΡΠΊΠ΅ΡΡΡΠ°ΡΠΈΠΈ ΠΊΡΠΎΡΡ-ΡΠ΅ΠΉΠ½ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΉSquidMulticall.sol- ΠΌΡΠ»ΡΡΠΈΠΊΠΎΠ»Π» ΠΊΠΎΠ½ΡΡΠ°ΠΊΡ Π΄Π»Ρ Π±Π°ΡΡΠΈΠ½Π³Π° Π²ΡΠ·ΠΎΠ²ΠΎΠ²SquidFeeCollector.sol/SquidFeeCollectorProxy.sol- ΡΠ±ΠΎΡ ΠΊΠΎΠΌΠΈΡΡΠΈΠΉDepositReceiver.sol/ReceiverImplementation.sol- ΠΏΡΠΈΠ΅ΠΌ Π΄Π΅ΠΏΠΎΠ·ΠΈΡΠΎΠ²SquidDepositService.sol- ΡΠ΅ΡΠ²ΠΈΡ Π΄Π΅ΠΏΠΎΠ·ΠΈΡΠΎΠ²SquidProxy.sol- ΠΏΡΠΎΠΊΡΠΈ ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΡRoledPausable.sol- ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ Π΄ΠΎΡΡΡΠΏΠΎΠΌ ΠΈ ΠΏΠ°ΡΠ·ΠΎΠΉSquidSwapExecutable.sol- ΠΈΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ swap ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΉDistributionENSExecutable.sol- ENS ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡSquidToken.sol- ΡΠΎΠΊΠ΅Π½ $QUID
ΠΠΈΠ½Π°ΠΌΠΈΡΠ΅ΡΠΊΠΈΠΉ lookup Π°Π΄ΡΠ΅ΡΠΎΠ²
- API endpoints:
/v2/sdk-info,/v2/chains - ΠΠ°ΠΆΠ΄ΡΠΉ chain object ΡΠΎΠ΄Π΅ΡΠΆΠΈΡ
squidContracts.squidRouterΡ Π°ΠΊΡΡΠ°Π»ΡΠ½ΡΠΌ Π°Π΄ΡΠ΅ΡΠΎΠΌ
2.2 Frontend Applications
Main Application
- URL:
https://app.squidrouter.com/ - Π€ΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»: swap, send, bridge ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΈ ΠΌΠ΅ΠΆΠ΄Ρ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½Π°ΠΌΠΈ
- ΠΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° 100+ ΡΠ΅ΠΏΠ΅ΠΉ ΠΈ 20,000+ ΡΠΎΠΊΠ΅Π½ΠΎΠ²
Token Sale Application
- URL:
https://sale.squidrouter.com/ - Π€ΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»: ΠΏΡΠ±Π»ΠΈΡΠ½Π°Ρ ΠΏΡΠΎΠ΄Π°ΠΆΠ° ΡΠΎΠΊΠ΅Π½Π° $QUID
- ΠΠΊΡΠΈΠ²Π½Π° Π΄ΠΎ 3 ΠΈΡΠ»Ρ 2026
Widget
- ΠΡΡΡΠ°ΠΈΠ²Π°Π΅ΠΌΡΠΉ Π²ΠΈΠ΄ΠΆΠ΅Ρ Π΄Π»Ρ ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΠΈ Π½Π° ΡΡΠΎΡΠΎΠ½Π½ΠΈΡ ΡΠ°ΠΉΡΠ°Ρ
2.3 Backend Infrastructure
API
- Base URL:
https://v2.api.squidrouter.com/ - Endpoints:
/v2/chains- ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ ΠΎ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΠΌΡΡ ΡΠ΅ΠΏΡΡ/v2/sdk-info- SDK ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈ Π°Π΄ΡΠ΅ΡΠ° ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΠΎΠ²- ΠΠ°ΡΡΡΡΡΠΈΠ·Π°ΡΠΈΡ ΠΈ ΡΠ°ΡΡΠ΅Ρ cross-chain ΡΡΠ°Π½Π·Π°ΠΊΡΠΈΠΉ
- ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Ρ liquidity sources
SDK
- JavaScript/TypeScript SDK Π΄Π»Ρ ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΠΊΠΎΠ²
- ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ ΡΠ΅ΡΠ΅Π· API ΠΈ Widget
Backend Routing Infrastructure
- ΠΡΠΊΠ΅ΡΡΡΠ°ΡΠΈΡ cross-chain ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΉ
- ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Ρ 130+ ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠ°ΠΌΠΈ Π»ΠΈΠΊΠ²ΠΈΠ΄Π½ΠΎΡΡΠΈ
- DEX Π°Π³ΡΠ΅Π³Π°ΡΠΈΡ
2.4 Cross-Chain Mechanics & TEE
Trusted Execution Environments (TEEs)
- ΠΠΎΡΡΠΎΡΠ½Π½ΡΠΉ ΠΌΠΎΠ½ΠΈΡΠΎΡΠΈΠ½Π³
- ΠΠ±Π΅ΡΠΏΠ΅ΡΠ΅Π½ΠΈΠ΅ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ cross-chain ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΉ
- ΠΠ±ΡΠ°Π±ΠΎΡΠΊΠ° edge cases Π²ΠΎΠΊΡΡΠ³ ΠΊΡΠΎΡΡ-ΡΠ΅ΠΉΠ½ ΠΌΠ΅Ρ Π°Π½ΠΈΠΊΠΈ
Cross-Chain Architecture
- ΠΠΎΠ½ΡΡΠ°ΠΊΡΡ ΠΠ Ρ ΡΠ°Π½ΡΡ Π»ΠΈΠΊΠ²ΠΈΠ΄Π½ΠΎΡΡΡ
- Π’ΠΎΠ»ΡΠΊΠΎ ΠΎΡΠΊΠ΅ΡΡΡΠΈΡΡΡΡ Π²ΡΠ·ΠΎΠ²Ρ ΠΊ DEX ΠΈ Π΄ΡΡΠ³ΠΈΠΌ ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΠ°ΠΌ
- ΠΠ·Π±Π΅Π³Π°Π½ΠΈΠ΅ ΡΠΈΡΠΊΠΎΠ², ΡΠ²ΡΠ·Π°Π½Π½ΡΡ Ρ ΡΡΠ°Π΄ΠΈΡΠΈΠΎΠ½Π½ΡΠΌΠΈ token bridges
2.5 Integrations
DEX & Liquidity Sources
- ΠΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Ρ 130+ ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠ°ΠΌΠΈ Π»ΠΈΠΊΠ²ΠΈΠ΄Π½ΠΎΡΡΠΈ
- ΠΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° 20,000+ ΡΠΎΠΊΠ΅Π½ΠΎΠ²
- ΠΠ³ΡΠ΅Π³Π°ΡΠΈΡ Π»ΡΡΡΠΈΡ ΠΌΠ°ΡΡΡΡΡΠΎΠ²
Supported Chains
- 100+ EVM ΡΠΎΠ²ΠΌΠ΅ΡΡΠΈΠΌΡΡ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½ΠΎΠ²
- ΠΠΊΠ»ΡΡΠ°Ρ: Ethereum, Polygon, Arbitrum, Optimism, Base, Avalanche, BSC, ΠΈ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ Π΄ΡΡΠ³ΠΈΠ΅
2.6 Token Economics
$QUID Token
- ΠΠ°ΡΠΈΠ²Π½ΡΠΉ ΡΠΎΠΊΠ΅Π½ ΡΠΊΠΎΡΠΈΡΡΠ΅ΠΌΡ Squid
- ΠΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° ΡΡΠ°ΡΡΠΈΡ ΠΈ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡΠ²ΠΈΡ Ρ ΡΠΊΠΎΡΠΈΡΡΠ΅ΠΌΠΎΠΉ
- ΠΡΠ±Π»ΠΈΡΠ½Π°Ρ ΠΏΡΠΎΠ΄Π°ΠΆΠ° Π°ΠΊΡΠΈΠ²Π½Π°
3. PERMITTED TESTING ACTIVITIES
3.1 Smart Contract Testing
Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΎ:
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ Π²ΡΠ΅Ρ ΡΠΌΠ°ΡΡ-ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΠΎΠ² Π½Π° mainnet
- ΠΠ½Π°Π»ΠΈΠ· Π»ΠΎΠ³ΠΈΠΊΠΈ ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΠΎΠ² ΠΈ ΠΏΠΎΠΈΡΠΊ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠ΅ΠΉ
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ Π²ΡΠ΅Ρ ΡΡΠ½ΠΊΡΠΈΠΉ: swap, bridge, deposit, fee collection
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° access control ΠΈ ΡΠΎΠ»Π΅Π²ΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ
- ΠΠ½Π°Π»ΠΈΠ· proxy ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΠΎΠ² ΠΈ upgrade ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌΠΎΠ²
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ multicall ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»ΡΠ½ΠΎΡΡΠΈ
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π²ΡΠ΅Ρ ΠΈΠ½ΡΠ΅Π³ΡΠΈΡΠΎΠ²Π°Π½Π½ΡΡ DEX ΠΈ liquidity sources
- ΠΠ½Π°Π»ΠΈΠ· cross-chain ΠΌΠ΅Ρ Π°Π½ΠΈΠΊΠΈ ΠΈ TEE Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡΠ²ΠΈΡ
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ Π²ΡΠ΅Ρ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΠΌΡΡ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½ΠΎΠ² (100+)
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° Π΄ΠΈΠ½Π°ΠΌΠΈΡΠ΅ΡΠΊΠΎΠ³ΠΎ lookup Π°Π΄ΡΠ΅ΡΠΎΠ² ΡΠ΅ΡΠ΅Π· API
Π€ΠΎΠΊΡΡ ΠΎΠ±Π»Π°ΡΡΠΈ:
- Reentrancy vulnerabilities
- Integer overflow/underflow
- Access control bypass
- Front-running Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈ
- Logic errors Π² ΠΌΠ°ΡΡΡΡΡΠΈΠ·Π°ΡΠΈΠΈ
- Oracle manipulation
- Cross-chain message passing ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ
- Fee calculation errors
- Token approval ΠΈ transfer ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ
- Proxy upgrade ΡΠΈΡΠΊΠΈ
3.2 Frontend & Web Application Testing
Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΎ:
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅
https://app.squidrouter.com/ - Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅
https://sale.squidrouter.com/ - ΠΠ½Π°Π»ΠΈΠ· JavaScript ΠΊΠΎΠ΄Π° ΠΈ ΠΊΠ»ΠΈΠ΅Π½ΡΡΠΊΠΎΠΉ Π»ΠΎΠ³ΠΈΠΊΠΈ
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΡΡΠΊΠΈΡ ΡΡΠ΅Π½Π°ΡΠΈΠ΅Π²: swap, bridge, sale participation
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° XSS, CSRF, ΠΈ Π΄ΡΡΠ³ΠΈΡ Π²Π΅Π±-ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠ΅ΠΉ
- ΠΠ½Π°Π»ΠΈΠ· ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΠΈ Ρ ΠΊΠΎΡΠ΅Π»ΡΠΊΠ°ΠΌΠΈ (MetaMask, WalletConnect, etc.)
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ API Π²ΡΠ·ΠΎΠ²ΠΎΠ² ΠΈΠ· frontend
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠΈ ΠΎΡΠΈΠ±ΠΎΠΊ ΠΈ edge cases
- ΠΠ½Π°Π»ΠΈΠ· Ρ ΡΠ°Π½Π΅Π½ΠΈΡ Π΄Π°Π½Π½ΡΡ Π½Π° ΠΊΠ»ΠΈΠ΅Π½ΡΠ΅ (localStorage, sessionStorage)
Π€ΠΎΠΊΡΡ ΠΎΠ±Π»Π°ΡΡΠΈ:
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Wallet connection ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ
- Transaction signing ΠΌΠ°Π½ΠΈΠΏΡΠ»ΡΡΠΈΠΈ
- UI redressing / clickjacking
- API endpoint abuse
- Client-side validation bypass
- Sensitive data exposure
3.3 Backend & API Testing
Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΎ:
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ Π²ΡΠ΅Ρ API endpoints
- ΠΠ½Π°Π»ΠΈΠ· ΠΌΠ°ΡΡΡΡΡΠΈΠ·Π°ΡΠΈΠΈ ΠΈ ΡΠ°ΡΡΠ΅ΡΠ° ΡΡΠ°Π½Π·Π°ΠΊΡΠΈΠΉ
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° rate limiting ΠΈ throttling
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΠΈ Ρ liquidity sources
- ΠΠ½Π°Π»ΠΈΠ· ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠΈ ΠΎΡΠΈΠ±ΠΎΠΊ
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° authentication ΠΈ authorization
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ SDK ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»ΡΠ½ΠΎΡΡΠΈ
Π€ΠΎΠΊΡΡ ΠΎΠ±Π»Π°ΡΡΠΈ:
- API endpoint vulnerabilities
- Rate limiting bypass
- Injection attacks (SQL, NoSQL, command)
- Authentication/authorization flaws
- Business logic errors Π² ΠΌΠ°ΡΡΡΡΡΠΈΠ·Π°ΡΠΈΠΈ
- Denial of Service Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈ
- Data leakage ΡΠ΅ΡΠ΅Π· API
- SDK security issues
3.4 Cross-Chain & TEE Testing
Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΎ:
- ΠΠ½Π°Π»ΠΈΠ· TEE ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΠΈ ΠΈ ΠΌΠΎΠ½ΠΈΡΠΎΡΠΈΠ½Π³Π°
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ cross-chain message passing
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° edge cases Π² ΠΊΡΠΎΡΡ-ΡΠ΅ΠΉΠ½ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΡΡ
- ΠΠ½Π°Π»ΠΈΠ· Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ ΠΎΡΠΊΠ΅ΡΡΡΠ°ΡΠΈΠΈ Π²ΡΠ·ΠΎΠ²ΠΎΠ²
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΠΈ Ρ ΡΠ°Π·Π»ΠΈΡΠ½ΡΠΌΠΈ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½Π°ΠΌΠΈ
Π€ΠΎΠΊΡΡ ΠΎΠ±Π»Π°ΡΡΠΈ:
- TEE implementation vulnerabilities
- Cross-chain message manipulation
- Oracle price feed manipulation
- Chain reorganization handling
- Bridge security (Π΅ΡΠ»ΠΈ ΠΏΡΠΈΠΌΠ΅Π½ΠΈΠΌΠΎ)
- State consistency ΠΌΠ΅ΠΆΠ΄Ρ ΡΠ΅ΠΏΡΠΌΠΈ
3.5 Token Sale Testing
Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΎ:
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅
https://sale.squidrouter.com/ - ΠΠ½Π°Π»ΠΈΠ· Π»ΠΎΠ³ΠΈΠΊΠΈ ΠΏΡΠΎΠ΄Π°ΠΆΠΈ ΡΠΎΠΊΠ΅Π½ΠΎΠ²
- ΠΡΠΎΠ²Π΅ΡΠΊΠ° ΡΠ°ΡΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΡΠΎΠΊΠ΅Π½ΠΎΠ²
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ payment mechanisms
- ΠΠ½Π°Π»ΠΈΠ· smart contracts ΡΠ²ΡΠ·Π°Π½Π½ΡΡ Ρ sale
Π€ΠΎΠΊΡΡ ΠΎΠ±Π»Π°ΡΡΠΈ:
- Sale logic vulnerabilities
- Payment processing errors
- Token distribution flaws
- Whitelist/kyc bypass (Π΅ΡΠ»ΠΈ Π΅ΡΡΡ)
- Contribution limit bypass
- Refund mechanism issues
4. TESTING GUIDELINES
4.1 Mainnet Testing
Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΎ:
- ΠΠΎΠ»Π½ΠΎΡΠ΅Π½Π½ΠΎΠ΅ ΡΠ΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° mainnet
- Π Π΅Π°Π»ΡΠ½ΡΠ΅ ΡΡΠ°Π½Π·Π°ΠΊΡΠΈΠΈ Π΄Π»Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠ΅ΠΉ
- ΠΠ·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡΠ²ΠΈΠ΅ Ρ ΡΠ΅Π°Π»ΡΠ½ΡΠΌΠΈ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΡΠΌΠΈ (Π΅ΡΠ»ΠΈ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎ Π΄Π»Ρ Π²ΠΎΡΠΏΡΠΎΠΈΠ·Π²Π΅Π΄Π΅Π½ΠΈΡ)
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ Π²ΡΠ΅Ρ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΠΌΡΡ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½ΠΎΠ²
Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°ΡΠΈΠΈ:
- ΠΡΠΏΠΎΠ»ΡΠ·ΡΠΉΡΠ΅ Π½Π΅Π±ΠΎΠ»ΡΡΠΈΠ΅ ΡΡΠΌΠΌΡ Π΄Π»Ρ ΡΠ΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ
- ΠΠΎΠΊΡΠΌΠ΅Π½ΡΠΈΡΡΠΉΡΠ΅ Π²ΡΠ΅ ΡΡΠ°Π½Π·Π°ΠΊΡΠΈΠΈ (tx hashes)
- Π‘ΠΎΡ ΡΠ°Π½ΡΠΉΡΠ΅ Π΄ΠΎΠΊΠ°Π·Π°ΡΠ΅Π»ΡΡΡΠ²Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠ΅ΠΉ
- ΠΠ΅ΠΌΠ΅Π΄Π»Π΅Π½Π½ΠΎ ΡΠΎΠΎΠ±ΡΠ°ΠΉΡΠ΅ ΠΎ ΠΊΡΠΈΡΠΈΡΠ΅ΡΠΊΠΈΡ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΡ
4.2 Responsible Disclosure
ΠΠΆΠΈΠ΄Π°Π΅ΡΡΡ:
- ΠΠ΅ΠΌΠ΅Π΄Π»Π΅Π½Π½ΠΎΠ΅ ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΠ΅ ΠΎ ΠΊΡΠΈΡΠΈΡΠ΅ΡΠΊΠΈΡ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΡ
- ΠΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ Π΄ΠΎΡΡΠ°ΡΠΎΡΠ½ΠΎΠΉ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ Π΄Π»Ρ Π²ΠΎΡΠΏΡΠΎΠΈΠ·Π²Π΅Π΄Π΅Π½ΠΈΡ
- ΠΠΎΠ·Π΄Π΅ΡΠΆΠ°Π½ΠΈΠ΅ ΠΎΡ ΡΠΊΡΠΏΠ»ΡΠ°ΡΠ°ΡΠΈΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠ΅ΠΉ Π΄Π»Ρ Π»ΠΈΡΠ½ΠΎΠΉ Π²ΡΠ³ΠΎΠ΄Ρ
- ΠΠΎΠ½ΡΠΈΠ΄Π΅Π½ΡΠΈΠ°Π»ΡΠ½ΠΎΡΡΡ Π΄ΠΎ Π²ΡΠΏΡΡΠΊΠ° ΠΏΠ°ΡΡΠ°
5. OUT OF SCOPE
Π₯ΠΎΡΡ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΠ° ΠΌΠ°ΠΊΡΠΈΠΌΠ°Π»ΡΠ½ΠΎ ΠΎΡΠΊΡΡΡΠ°, ΡΠ»Π΅Π΄ΡΡΡΠΈΠ΅ Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡΠΈ ΠΠ ΡΠ΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡΡΡΡΡ:
- DDoS Π°ΡΠ°ΠΊΠΈ Π½Π° ΠΈΠ½ΡΡΠ°ΡΡΡΡΠΊΡΡΡΡ
- Social engineering Π°ΡΠ°ΠΊΠΈ Π½Π° ΠΊΠΎΠΌΠ°Π½Π΄Ρ ΠΈΠ»ΠΈ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ
- Π€ΠΈΠ·ΠΈΡΠ΅ΡΠΊΠΈΠΉ Π΄ΠΎΡΡΡΠΏ ΠΊ ΡΠ΅ΡΠ²Π΅ΡΠ°ΠΌ ΠΈΠ»ΠΈ ΠΎΡΠΈΡΠ°ΠΌ
- Π’Π΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ ΡΡΠΎΡΠΎΠ½Π½ΠΈΡ ΡΠ΅ΡΠ²ΠΈΡΠΎΠ², Π½Π΅ ΠΏΡΠΈΠ½Π°Π΄Π»Π΅ΠΆΠ°ΡΠΈΡ Squid (ΠΊΡΠΎΠΌΠ΅ ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΠΉ)
6. SEVERITY CLASSIFICATION
Critical
- ΠΠΎΡΠ΅ΡΡ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΡΡΠΊΠΈΡ ΡΡΠ΅Π΄ΡΡΠ²
- ΠΠΎΠ»Π½ΡΠΉ ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅Ρ ΡΠΌΠ°ΡΡ-ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΠΎΠ²
- ΠΡΠΈΡΠΈΡΠ΅ΡΠΊΠΈΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π² TEE
- ΠΠ°Π½ΠΈΠΏΡΠ»ΡΡΠΈΡ cross-chain ΠΎΠΏΠ΅ΡΠ°ΡΠΈΡΠΌΠΈ leading to fund loss
High
- Π§Π°ΡΡΠΈΡΠ½Π°Ρ ΠΏΠΎΡΠ΅ΡΡ ΡΡΠ΅Π΄ΡΡΠ²
- Access control bypass
- ΠΡΠΈΡΠΈΡΠ΅ΡΠΊΠΈΠ΅ business logic errors
- Front-running Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈ Ρ Π·Π½Π°ΡΠΈΡΠ΅Π»ΡΠ½ΡΠΌ impact
Medium
- DoS Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈ
- Information disclosure
- Non-critical logic errors
- UI/UX ΠΏΡΠΎΠ±Π»Π΅ΠΌΡ Ρ security implications
Low
- Minor information leakage
- Best practice violations
- Low-impact UX issues
7. ADDITIONAL NOTES
- ΠΡΠΎΠ³ΡΠ°ΠΌΠΌΠ° ΠΎΡΠΊΡΡΡΠ° Π΄Π»Ρ Π²ΡΠ΅Ρ 100+ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΠΌΡΡ Π±Π»ΠΎΠΊΡΠ΅ΠΉΠ½ΠΎΠ²
- ΠΡΠ΅ ΡΠΌΠ°ΡΡ-ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΡ ΠΏΡΠΎΡΠ»ΠΈ 9 Π°ΡΠ΄ΠΈΡΠΎΠ² (Ackee Blockchain, Consensys Diligence, 0xKaden, n-Var)
- ΠΡΡ ΠΈΡΠ΅ΠΊΡΡΡΠ° Π½Π΅ Ρ ΡΠ°Π½ΠΈΡ Π»ΠΈΠΊΠ²ΠΈΠ΄Π½ΠΎΡΡΡ - ΡΠΎΠ»ΡΠΊΠΎ ΠΎΡΠΊΠ΅ΡΡΡΠΈΡΡΠ΅Ρ Π²ΡΠ·ΠΎΠ²Ρ
- TEE Π½Π°Ρ ΠΎΠ΄ΡΡΡΡ ΠΏΠΎΠ΄ ΠΏΠΎΡΡΠΎΡΠ½Π½ΡΠΌ ΠΌΠΎΠ½ΠΈΡΠΎΡΠΈΠ½Π³ΠΎΠΌ
- API endpoints Π΄ΠΈΠ½Π°ΠΌΠΈΡΠ΅ΡΠΊΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»ΡΡΡ Π°ΠΊΡΡΠ°Π»ΡΠ½ΡΠ΅ Π°Π΄ΡΠ΅ΡΠ° ΠΊΠΎΠ½ΡΡΠ°ΠΊΡΠΎΠ²