> ## Documentation Index
> Fetch the complete documentation index at: https://docs.raydium.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Audits

> Audit-Übersicht pro Raydium-Programm — Prüfer, Umfang, Datum, Berichtlink — sowie Verfolgung des Behebungsstatus und Erläuterungen zu dem, was Audits abdecken und nicht abdecken.

<Info>
  **Diese Seite wurde mit KI automatisch übersetzt. Maßgeblich ist stets die englische Version.**

  [Englische Version ansehen →](/security/audits)
</Info>

<Info>
  Audits finden einige Fehlerklassen (bekannte Angriffsmuster, Zugriffskontrolle-Fehler, Integer-Überläufe) und übersehen andere (ökonomische Designmängel, spieltheoretische Manipulation, Integrationsfehler mit anderen Programmen). Raydi­ums Programme haben mehrere Audit-Runden durchlaufen; diese Seite listet sie auf und erörtert, was jedes Audit tatsächlich verifiziert hat.
</Info>

## Audit-Tabelle nach Programm

| Programm                                                 | Prüfer                                             | Datum   | Bericht                                                                                                                                                                      |
| -------------------------------------------------------- | -------------------------------------------------- | ------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Order-book AMM                                           | [Kudelski Security](https://kudelskisecurity.com/) | Q2 2021 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/Kudelski%20Q2%202021/Raydium_Audit.pdf)                                                               |
| Concentrated liquidity (CLMM)                            | [OtterSec](https://osec.io/)                       | Q3 2022 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/OtterSec%20Q3%202022/Raydium%20concentrated%20liquidity%20%28CLMM%29%20program.pdf)                   |
| Updated order-book AMM                                   | [OtterSec](https://osec.io/)                       | Q3 2022 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/OtterSec%20Q3%202022/Raydium%20updated%20order-book%20AMM%20program.pdf)                              |
| Staking                                                  | [OtterSec](https://osec.io/)                       | Q3 2022 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/OtterSec%20Q3%202022/Raydium%20staking%20program.pdf)                                                 |
| Order-book AMM & OpenBook-Migration                      | [MadShield](https://www.madshield.xyz/)            | Q2 2023 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/MadSheild%20Q2%202023/Raydium%20updated%20orderbook%20AMM%20program%20%26%20OpenBook%20migration.pdf) |
| Constant-product AMM (CPMM)                              | [MadShield](https://www.madshield.xyz/)            | Q1 2024 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/MadShield%20Q1%202024/raydium-cp-swap-v-1.0.0.pdf)                                                    |
| Burn & Earn (Liquiditäts-Locker)                         | [Halborn](https://www.halborn.com/)                | Q4 2024 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/Halborn%20Q4%202024/raydium_liquidity_locking.pdf)                                                    |
| LaunchLab                                                | [Halborn](https://www.halborn.com/)                | Q2 2025 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/Halborn%20Q2%202025/raydium_launch.pdf)                                                               |
| CPMM (Update)                                            | [Sec3](https://www.sec3.dev/)                      | Q3 2025 | [Ansehen](https://github.com/raydium-io/raydium-docs/blob/master/audit/Sec3%20Q3%202025/raydium_cp_swap_pr55.pdf)                                                            |
| CLMM-Update — Limit Order, Dynamic Fee, Single Asset Fee | [Sec3](https://www.sec3.dev/)                      | Q2 2026 | [Ansehen](https://github.com/raydium-io/raydium-docs/tree/master/audit/Sec3%20Q2%202026)                                                                                     |

Mitglieder des [Neodyme](https://neodyme.io/)-Teams haben auch umfangreiche Überprüfungen über Bug-Bounty-Vereinbarungen durchgeführt.

Alle Audit-Berichte für Raydium-Programme werden unter [`github.com/raydium-io/raydium-docs/audit/`](https://github.com/raydium-io/raydium-docs/tree/master/audit) gespiegelt. Jeder Prüfer veröffentlicht auch auf seiner eigenen Website.

## Was Audits abdecken

Ein typischer Raydium-Audit (\~3–6 Wochen, 2 Prüfer) behandelt:

* **Zugriffskontrolle** — ist jede privilegierte Operation ordnungsgemäß geschützt?
* **Arithmetik** — Überläufe, Unterläufe, Rundungsrichtung, Festkomma-Genauigkeit.
* **Account-Validierung** — hat jedes Account den korrekten Owner, die korrekte Mint, die korrekte Authority?
* **Reentrancy-ähnliche Muster** — aktualisiert sich der Status vor oder nach einem CPI?
* **PDA-Ableitung** — sind die Seeds konsistent an allen Stellen?
* **Fehlercodes und Nachrichten** — setzen sich Fehlerbedingungen sauber durch?
* **Code-Qualität** — idiomatisches Rust, toter Code, unerreichbare Branches.

## Was Audits nicht abdecken

* **Ökonomische Spieltheorie** — z. B. „kann ich 1000 Pools kostenlos erstellen und damit den Router grippefen?"
* **MEV / Reihenfolge** — Sandwich-Attacken, Front-Running via Validator-Kooperation.
* **Off-Chain-Infrastruktur** — RPC-Zuverlässigkeit, Indexer-Korrektheit, Frontend.
* **Integrationen mit anderen Programmen** — Fehler, die nur bei Komposition mit bestimmten Lending-, Options- oder Aggregator-Kontrakten auftreten.
* **Emergente Verhaltensweisen über Zeit** — was passiert nach 10 Millionen Positionen? Audits schauen sich kleine Testfälle an.

Deshalb bedeutet Audit ≠ Sicherheitsgarantie. Raydium ergänzt Audits durch Bug-Bounties, Monitoring und defensives Engineering.

## Status der Behebung von Findings

Jeder Audit erzeugt eine Findings-Liste (kritisch / hoch / mittel / niedrig / informativ) mit Schweregrad-Zählungen und Status pro Finding (Behoben / Zur Kenntnis genommen / Wird nicht behoben). Detaillierte Aufschlüsselungen pro Finding werden hier nicht dupliziert — lesen Sie jeden Bericht direkt über die Tabelle oben.

## Nachaudits nach bedeutenden Änderungen

Wenn ein Programm ein bedeutendes Update ausliefert (neue Anweisung, neues Account-Feld, neue Extension-Unterstützung), beauftragt Raydium einen Nachaudit. Die Sec3-Überprüfung vom Q3 2025 für CPMM und die Sec3-Überprüfung vom Q2 2026 für CLMM (Limit Order, Dynamic Fee, Single Asset Fee) in der obigen Tabelle sind beide Nachaudits dieser Art.

Der Nachaudit-Umfang ist enger (nur das Diff), aber es ist ein echter Nachaudit — nicht nur eine Code-Überprüfung. Berichte für Nachaudits werden an den Hauptaudit-Bericht angehängt.

## On-Chain-Verifizierung

Der Hash des eingesetzten Programms sollte dem Hash des geprüften Codes entsprechen. Jeder kann dies überprüfen:

```bash theme={null}
# Rufen Sie den eingesetzten Programm-Bytecode ab.
solana program dump <PROGRAM_ID> program.so

# Bauen Sie das Repo beim geprüften Commit.
git clone https://github.com/raydium-io/raydium-cp-swap
cd raydium-cp-swap
git checkout <audited_commit_hash>
anchor build --verifiable

# Vergleichen.
sha256sum program.so target/deploy/raydium_cp_swap.so
```

Die Anchor-verifizierbaren Builds erzeugen deterministischen Bytecode; Hashes sollten exakt übereinstimmen. Wenn nicht, ist das eingesetzte Programm nicht das geprüfte — eskalieren Sie.

Raydium veröffentlicht die erwarteten Hashes pro Bereitstellung im Releases-Bereich des Repos.

## Wie man einen Audit-Bericht liest

Ein kurzer Leitfaden für Nicht-Prüfer:

1. **Springen Sie zur Findings-Zusammenfassung** — eine Tabelle mit Schweregrad-Zählungen. Wenn die „Kritisch"-Zahl >0 ist und Sie „Open"-Status sehen, schauen Sie nach.
2. **Lesen Sie die Beschreibung und den Status jedes Findings.** „Behoben in Commit XYZ" bedeutet gelöst; „Zur Kenntnis genommen" bedeutet das Team akzeptiert das Risiko; „Teilweise behoben" lohnt sich näher anzusehen.
3. **Lesen Sie den Scope-Bereich.** Wenn der Audit die Anweisung oder das Account nicht abdeckte, das Sie interessiert, ist die Abwesenheit von Findings dort kein Beweis für Sicherheit.
4. **Überfliegen Sie den Empfehlungsbereich des Prüfers.** Oft nützlicher als die Findings — bringt „wir konnten das formal nicht beweisen, aber wir sind unwohl" Notizen hervor.

## Bug-Bounty-Integration

Audits laufen vor der Bereitstellung; Bug-Bounties laufen kontinuierlich nach der Bereitstellung. Raydi­ums Bounty-Programm ([`security/disclosure`](/de/security/disclosure)) deckt alles ab, was Audits tun, plus:

* Ökonomische Attacken, die Audits nicht abdecken.
* Fehler in neuen Integrationen.
* Implementierungsfehler in SDKs und Off-Chain-Komponenten.

Ein Whitehat-Finding im Bounty-Programm wird typischerweise schneller bezahlt als auf den nächsten Audit-Zyklus zu warten; die Anreize sind ausgerichtet auf schnelle Offenlegung. Das aktive Programm wird auf Immunefi gehostet: [immunefi.com/bug-bounty/raydium/information](https://immunefi.com/bug-bounty/raydium/information/).

## Historische Vorfälle

Raydi­ums Programme hatten zwei bemerkenswerte Vorfälle in der realen Welt:

### Pool-Authority-Exploit (Dezember 2022)

**Was:** Der private Schlüssel der AMM-v4-Pool-Authority wurde kompromittiert, was einem Angreifer ermöglichte, mehrere Pools zu leeren.

**Umfang:** Operatives Schlüsselmanagement, nicht ein Programm-Bug. Der Audit hatte den Code nicht gekennzeichnet, da der Code korrekt war; der Schlüsselmanagement-Prozess war das Versäumnis.

**Behebung:** Multisig-Migration (alle Authority-Rollen wurden zu Squads Multisig verschoben); zusätzliche operative Kontrollen.

**Lektion:** Audits decken Schlüsselmanagement nicht ab. Siehe [`security/admin-and-multisig`](/de/security/admin-and-multisig).

### OpenBook-Integrations-Freeze (Januar 2023)

**Was:** Ein OpenBook-Programm-Update änderte Account-Semantik; AMM v4s MonitorStep-Crank konnte PnL nicht abrechnen, bis ein AMM-v4-Patch ausgeliefert wurde.

**Umfang:** Integrations-Bug — kein Programm war isoliert falsch.

**Behebung:** AMM-v4-Patch und koordinierte Bereitstellung.

**Lektion:** Audits von Programm A fangen Fehler in der Integration von Programm A mit Programm B nicht auf. Das richtige Werkzeug ist Integrations-Testing + gestaffelte Rollouts.

## Verweise

* [`security/admin-and-multisig`](/de/security/admin-and-multisig) — Authority-Struktur.
* [`security/attack-vectors`](/de/security/attack-vectors) — bekannte Angriffsmuster.
* [`security/disclosure`](/de/security/disclosure) — Bug-Bounty-Richtlinie.

Quellen:

* Pro-Programm-Source-Repositories: [`raydium-amm`](https://github.com/raydium-io/raydium-amm), [`raydium-clmm`](https://github.com/raydium-io/raydium-clmm), [`raydium-cp-swap`](https://github.com/raydium-io/raydium-cp-swap).
* Audit-Bericht-Spiegel: [`raydium-docs/audit`](https://github.com/raydium-io/raydium-docs/tree/master/audit).
* Bug-Bounty: [Immunefi — Raydium](https://immunefi.com/bug-bounty/raydium/information/).
