Squid Router Bug Bounty Program

1. OVERVIEW

Squid Router — это кросс-чейн платформа, обеспечивающая взаимодействие между 100+ блокчейнами, 20,000+ токенами и 130+ источниками ликвидности. Платформа позволяет пользователям совершать swap, send и bridge операции между различными блокчейнами через единый интерфейс.

2. IN-SCOPE ASSETS

2.1 Smart Contracts

Все смарт-контракты, развернутые на всех поддерживаемых блокчейнах:

Primary SquidRouter Contracts

Основной адрес (большинство EVM цепей):

0xce16F69375520ab01377ce7B88f5BA8C48F8D666

Blast:

0x492751eC3c57141deb205eC2da8bFcb410738630

Fraxtal:

0xDC3D8e1Abe590BCa428a8a2FC4CfDbD1AcF57Bd9

Alternate SquidRouter Contracts

Адрес: 0x2B4d4Cf15dAD79D3426D19674Bd237C1dc9144aa

Цепи: Berachain (80094), Citrea (4114), Gnosis (100), Hedera (295), HyperEVM (999), Mantra (5887), Monad (143), Peaq (3338), SagaEVM (5464), Soneium (1868), Sonic (146), Tempo (4217)

Core Contracts

SquidRouter.sol / SquidRouterProxy.sol - основной роутер для оркестрации кросс-чейн операций
SquidMulticall.sol - мультиколл контракт для батчинга вызовов
SquidFeeCollector.sol / SquidFeeCollectorProxy.sol - сбор комиссий
DepositReceiver.sol / ReceiverImplementation.sol - прием депозитов
SquidDepositService.sol - сервис депозитов
SquidProxy.sol - прокси контракты
RoledPausable.sol - управление доступом и паузой
SquidSwapExecutable.sol - исполнение swap операций
DistributionENSExecutable.sol - ENS интеграция
SquidToken.sol - токен $QUID

Динамический lookup адресов

API endpoints: /v2/sdk-info, /v2/chains
Каждый chain object содержит squidContracts.squidRouter с актуальным адресом

2.2 Frontend Applications

Main Application

URL: https://app.squidrouter.com/
Функционал: swap, send, bridge операции между блокчейнами
Поддержка 100+ цепей и 20,000+ токенов

Token Sale Application

URL: https://sale.squidrouter.com/
Функционал: публичная продажа токена $QUID
Активна до 3 июля 2026

Widget

Встраиваемый виджет для интеграции на сторонних сайтах

2.3 Backend Infrastructure

API

Base URL: https://v2.api.squidrouter.com/
Endpoints:
- /v2/chains - получение информации о поддерживаемых цепях
- /v2/sdk-info - SDK информация и адреса контрактов
- Маршрутизация и расчет cross-chain транзакций
- Интеграция с liquidity sources

SDK

JavaScript/TypeScript SDK для разработчиков
Интеграция через API и Widget

Backend Routing Infrastructure

Оркестрация cross-chain операций
Интеграция с 130+ источниками ликвидности
DEX агрегация

2.4 Cross-Chain Mechanics & TEE

Trusted Execution Environments (TEEs)

Постоянный мониторинг
Обеспечение безопасности cross-chain операций
Обработка edge cases вокруг кросс-чейн механики

Cross-Chain Architecture

Контракты НЕ хранят ликвидность
Только оркестрируют вызовы к DEX и другим контрактам
Избегание рисков, связанных с традиционными token bridges

2.5 Integrations

DEX & Liquidity Sources

Интеграция с 130+ источниками ликвидности
Поддержка 20,000+ токенов
Агрегация лучших маршрутов

Supported Chains

100+ EVM совместимых блокчейнов
Включая: Ethereum, Polygon, Arbitrum, Optimism, Base, Avalanche, BSC, и многие другие

2.6 Token Economics

$QUID Token

Нативный токен экосистемы Squid
Поддержка участия и взаимодействия с экосистемой
Публичная продажа активна

3. PERMITTED TESTING ACTIVITIES

3.1 Smart Contract Testing

                Разрешено:
                Тестирование всех смарт-контрактов на mainnet
Анализ логики контрактов и поиск уязвимостей
Тестирование всех функций: swap, bridge, deposit, fee collection
Проверка access control и ролевой модели
Анализ proxy контрактов и upgrade механизмов
Тестирование multicall функциональности
Проверка всех интегрированных DEX и liquidity sources
Анализ cross-chain механики и TEE взаимодействия
Тестирование всех поддерживаемых блокчейнов (100+)
Проверка динамического lookup адресов через API

            

                Фокус области:
                Reentrancy vulnerabilities
Integer overflow/underflow
Access control bypass
Front-running возможности
Logic errors в маршрутизации
Oracle manipulation
Cross-chain message passing уязвимости
Fee calculation errors
Token approval и transfer уязвимости
Proxy upgrade риски

            

3.2 Frontend & Web Application Testing

                Разрешено:
                Тестирование https://app.squidrouter.com/
Тестирование https://sale.squidrouter.com/
Анализ JavaScript кода и клиентской логики
Тестирование пользовательских сценариев: swap, bridge, sale participation
Проверка XSS, CSRF, и других веб-уязвимостей
Анализ интеграции с кошельками (MetaMask, WalletConnect, etc.)
Тестирование API вызовов из frontend
Проверка обработки ошибок и edge cases
Анализ хранения данных на клиенте (localStorage, sessionStorage)

            

                Фокус области:
                Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Wallet connection уязвимости
Transaction signing манипуляции
UI redressing / clickjacking
API endpoint abuse
Client-side validation bypass
Sensitive data exposure

            

3.3 Backend & API Testing

                Разрешено:
                Тестирование всех API endpoints
Анализ маршрутизации и расчета транзакций
Проверка rate limiting и throttling
Тестирование интеграции с liquidity sources
Анализ обработки ошибок
Проверка authentication и authorization
Тестирование SDK функциональности

            

                Фокус области:
                API endpoint vulnerabilities
Rate limiting bypass
Injection attacks (SQL, NoSQL, command)
Authentication/authorization flaws
Business logic errors в маршрутизации
Denial of Service возможности
Data leakage через API
SDK security issues

            

3.4 Cross-Chain & TEE Testing

                Разрешено:
                Анализ TEE реализации и мониторинга
Тестирование cross-chain message passing
Проверка edge cases в кросс-чейн операциях
Анализ безопасности оркестрации вызовов
Тестирование интеграции с различными блокчейнами

            

                Фокус области:
                TEE implementation vulnerabilities
Cross-chain message manipulation
Oracle price feed manipulation
Chain reorganization handling
Bridge security (если применимо)
State consistency между цепями

            

3.5 Token Sale Testing

                Разрешено:
                Тестирование https://sale.squidrouter.com/
Анализ логики продажи токенов
Проверка распределения токенов
Тестирование payment mechanisms
Анализ smart contracts связанных с sale

            

                Фокус области:
                Sale logic vulnerabilities
Payment processing errors
Token distribution flaws
Whitelist/kyc bypass (если есть)
Contribution limit bypass
Refund mechanism issues

            

4. TESTING GUIDELINES

4.1 Mainnet Testing

                Разрешено:
                Полноценное тестирование на mainnet
Реальные транзакции для проверки уязвимостей
Взаимодействие с реальными пользователями (если необходимо для воспроизведения)
Тестирование всех поддерживаемых блокчейнов

            

                Рекомендации:
                Используйте небольшие суммы для тестирования
Документируйте все транзакции (tx hashes)
Сохраняйте доказательства уязвимостей
Немедленно сообщайте о критических уязвимостях

            

4.2 Responsible Disclosure

                Ожидается:
                Немедленное сообщение о критических уязвимостях
Предоставление достаточной информации для воспроизведения
Воздержание от эксплуатации уязвимостей для личной выгоды
Конфиденциальность до выпуска патча

            

5. OUT OF SCOPE

Хотя программа максимально открыта, следующие активности НЕ рекомендуются:

DDoS атаки на инфраструктуру
Social engineering атаки на команду или пользователей
Физический доступ к серверам или офисам
Тестирование сторонних сервисов, не принадлежащих Squid (кроме интеграций)

6. SEVERITY CLASSIFICATION

Critical

Потеря пользовательских средств
Полный компромет смарт-контрактов
Критические уязвимости в TEE
Манипуляция cross-chain операциями leading to fund loss

High

Частичная потеря средств
Access control bypass
Критические business logic errors
Front-running возможности с значительным impact

Medium

DoS возможности
Information disclosure
Non-critical logic errors
UI/UX проблемы с security implications

Low

Minor information leakage
Best practice violations
Low-impact UX issues

7. ADDITIONAL NOTES

Программа открыта для всех 100+ поддерживаемых блокчейнов
Все смарт-контракты прошли 9 аудитов (Ackee Blockchain, Consensys Diligence, 0xKaden, n-Var)
Архитектура не хранит ликвидность - только оркестрирует вызовы
TEE находятся под постоянным мониторингом
API endpoints динамически предоставляют актуальные адреса контрактов

Bug Bounty Program

1. OVERVIEW

2. IN-SCOPE ASSETS

2.1 Smart Contracts

Primary SquidRouter Contracts

Alternate SquidRouter Contracts

Core Contracts

Динамический lookup адресов

2.2 Frontend Applications

Main Application

Token Sale Application

Widget

2.3 Backend Infrastructure

API

SDK

Backend Routing Infrastructure

2.4 Cross-Chain Mechanics & TEE

Trusted Execution Environments (TEEs)

Cross-Chain Architecture

2.5 Integrations

DEX & Liquidity Sources

Supported Chains

2.6 Token Economics

$QUID Token

3. PERMITTED TESTING ACTIVITIES

3.1 Smart Contract Testing

Разрешено:

Фокус области:

3.2 Frontend & Web Application Testing

Разрешено:

Фокус области:

3.3 Backend & API Testing

Разрешено:

Фокус области:

3.4 Cross-Chain & TEE Testing

Разрешено:

Фокус области:

3.5 Token Sale Testing

Разрешено:

Фокус области:

4. TESTING GUIDELINES

4.1 Mainnet Testing

Разрешено:

Рекомендации:

4.2 Responsible Disclosure

Ожидается:

5. OUT OF SCOPE

6. SEVERITY CLASSIFICATION

Critical

High

Medium

Low

7. ADDITIONAL NOTES

Submit Your Report