Zum Hauptinhalt springen
Diese Seite wurde mit KI automatisch übersetzt. Maßgeblich ist stets die englische Version.Englische Version ansehen →
Raydium betreibt ein aktives Bug-Bounty-Programm, das ausschließlich den On-Chain-Programmcode abdeckt – die Solana Smart Contracts unter den in reference/program-addresses aufgelisteten Program IDs. Das Programm läuft seit dem 25. April 2023 auf Immunefi. Die Auszahlungen skalieren mit dem Schweregrad und der wirtschaftlichen Auswirkung und erreichen bis zu $505.000 in der obersten kritischen Stufe.Das SDK, die REST-APIs und das Frontend (raydium.io) sind nicht Teil des Bounty. Probleme dort werden nicht bezahlt, aber Berichte sind dennoch willkommen – siehe Non-Bounty-Berichte (SDK / API / UI) unten für den Kontaktweg.Diese Seite ist die maßgebliche Quelle dafür, was der Bounty abdeckt, wie man berichtet und was man vom Antwortprozess erwarten kann.

Umfang

Im Bounty-Umfang (bezahlt)

Der Bounty gilt nur für bereitgestellten On-Chain-Programmcode:
  • Bereitgestellte Programme unter den Program IDs in reference/program-addresses:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • Smart-Contract-CPI-Komposabilitätsfehler, bei denen die korrekte Verwendung eines Raydium-Programms durch ein zusammengesetztes Programm dazu führt, dass sich das Raydium-Programm selbst fehlerhaft verhält.

Nicht im Bounty-Umfang (Berichte willkommen – siehe unten)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) auf npm.
  • REST-APIs (jeder Host in der API-Referenzapi-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, usw.).
  • Frontend (raydium.io) – einschließlich XSS, CSRF, Auth-Flow-Fehler, Wallet-Spoofing, fehlerhafte UI-Zustände.
  • Off-Chain-Indexer, Bild-/IPFS-Gateways und andere Infrastruktur, die Daten in die UI bereitstellt.
Diese werden nicht bezahlt. Berichte sind dennoch willkommen und hilfreich – reichen Sie sie über den Non-Bounty-Kanal unten ein.

Außerhalb des Umfangs (nicht berechtigt)

  • Programme von Drittanbietern, die mit Raydium zusammengesetzt werden (berichten Sie deren Teams).
  • Aggregatoren von Drittanbietern, die über Raydium routen (z. B. Jupiter).
  • Off-Chain-Tools, die nicht von Raydium gepflegt werden (Community-SDKs in Python, Bots von Drittanbietern, usw.).
  • Social-Engineering-Angriffe gegen Raydium-Teammitglieder.
  • Alle Erkenntnisse, die Validator-seitige Absprachen oder Mehrheits-Stake-Angriffe erfordern (dies ist Solana-Ebene, kein DeFi-Bounty-Ziel).
  • DoS durch Spam öffentlicher RPC-Endpunkte.
  • Ausgaben von automatisierten Scan-Tools ohne funktionierenden Proof-of-Concept.
Programmspezifische Ausschlüsse (gemäß Immunefi-Listing):
  • AMM v4 / OpenBook-Abhängigkeiten – Fehler bezüglich OpenBook-Abhängigkeiten sind nicht im Umfang enthalten. AMM v4 ist auf Status 6 gesetzt, daher wird Liquidität nicht mehr zu OpenBook-Märkten geteilt.
  • Erkenntnisse, die bereits in früheren Sicherheitsüberprüfungen gekennzeichnet wurden, sind nicht berechtigt: die Ottersec-Überprüfung von CLMM und die Kudelski-, Ottersec- und MadShield-Überprüfungen des Hybrid-AMM-Programms. Das erneute Melden eines bereits offengelegten Problems wird nicht bezahlt.
  • CLMM-Yield-Claim-Fehler nach Design – das CLMM gibt Handelsgebühren- und Farming-Yield-Token an LPs aus. Wenn ein Angreifer den Vault oder die Gebühren-Token geleert hätte, könnten Benutzer Yield nicht beanspruchen und Transaktionen würden fehlschlagen. Dies ist beabsichtigt und wird nicht als Sicherheitslücke betrachtet.

Grauzone – zuerst besprechen

  • Fehler in MEV-Widerstands-Primitiven, die mit externer Infrastruktur interagieren.
  • Token-2022-Integrations-Grenzfälle, bei denen das „korrekte” Verhalten mehrdeutig ist.
  • Wirtschaftliche / spieltheoretische Angriffe, die sich nicht sauber auf einen Code-Fehler abbilden lassen.
Im Zweifelsfall sollten Sie eher berichten.

Schweregrad und Belohnungen

Berichte werden anhand des Immunefi Vulnerability Severity Classification System V2.3 unter einem Primacy of Rules-Modell klassifiziert: Die Bedingungen auf dieser Seite und das Immunefi-Listing sind maßgeblich und haben Vorrang vor der Standardklassifizierung, wenn sie abweichen. Belohnungen werden in USD angegeben und von Raydium in RAY, SOL oder USDC bezahlt. Die Smart-Contract-Belohnungsstufen sind:
SchweregradBelohnung
Kritisch10 % der direkt betroffenen Mittel, begrenzt auf $505.000, mit einem Minimum von $50.000
Hoch$5.000–$40.000
MittelPauschal $5.000
Es gibt keine separate bezahlte Stufe unter Mittel. Das Minimum von $50.000 für kritische Fälle existiert speziell, um Forscher davon abzuhalten, einen Bericht zurückzuhalten, wenn die direkt betroffenen Mittel gering sind.

Berechnung der kritischen Belohnung

Für Mainnet-Assets beträgt die kritische Belohnung 10 % der direkt betroffenen Mittel, bis zu einem Maximum von $505.000. Wenn 10 % der gefährdeten Mittel unter $50.000 liegen, wird der Bericht dennoch mit dem Minimum von $50.000 bezahlt. Die Obergrenze und die Grundlage von 10 % der gefährdeten Mittel gelten für kritische Smart-Contract-Berichte.

Auswirkungen im Umfang

Der Bounty verwendet Immunefis standardisierte Auswirkungstaxonomie. Raydium-spezifische Beispiele werden gegeben, um zu veranschaulichen, wie sich jede Auswirkung auf die Programme abbildet. Kritisch
  • Direkter Diebstahl von Benutzermitteln, ob in Ruhe oder in Bewegung, mit Ausnahme ungeforderter Yields – z. B. Entleerung von LP-Mitteln eines Benutzers über eine gültige Raydium-Anweisung oder unbegrenztes Minting von LP-Token.
  • Permanente Sperrung von Mitteln – z. B. Beschädigung der Pool-Buchhaltung, sodass Mittel dauerhaft nicht wiederhergestellt werden können.
  • Sicherheitslücken, die Benutzermittel dauerhaft sperren könnten oder Mittel ohne Benutzertransaktionsgenehmigung abziehen oder stehlen – z. B. Umgehung der Program-Upgrade-Autorität oder ein Steal-All-Protocol-Fees-Bug.
Hoch
  • Diebstahl ungeforderter Yields – z. B. Diebstahl ausstehender Belohnungen von Farms oder CLMM-Positionen.
  • Permanente Sperrung ungeforderter Yields.
  • Temporäre Sperrung von Mitteln für beliebig lange Zeit – z. B. Sperrung einer Benutzerposition, sodass sie diese nicht über eine böswillige Tx schließen können.
  • Sicherheitslücken, die Benutzermittel vorübergehend sperren könnten oder absichtlich den Wert von Benutzermitteln verändern – z. B. Manipulation der Pool-Mathematik oder Umgehung des Slippage-Schutzes.
Mittel
  • Smart Contract kann aufgrund fehlender Token-Mittel nicht betrieben werden.
  • Block Stuffing für Gewinn.
  • Griefing (kein Gewinnmotiv für den Angreifer, aber Schaden für Benutzer oder das Protokoll) – z. B. ein griefbarer DoS, bei dem alle Swaps in einem Pool zurückgewiesen werden.
  • Diebstahl von Gas.
  • Unbegrenzter Gasverbrauch.

Kontaktwege

Primär: Immunefi

Raydiums Bug Bounty ist auf Immunefi aufgelistet. Berichten Sie über die Immunefi-Plattform:
  1. Erstellen Sie ein Immunefi-Konto.
  2. Navigieren Sie zur Raydium-Bounty-Seite.
  3. Reichen Sie die Erkenntnis mit einem vollständigen PoC ein. Ein Proof-of-Concept ist für alle Schweregrade erforderlich – Erklärungen und Aussagen werden nicht akzeptiert, funktionierender Code ist erforderlich. Berichte mit kritischem und hohem Schweregrad sollten auch einen vorgeschlagenen Fix enthalten.
  4. Berichte werden schnell bearbeitet – die mediane Lösungszeit des Programms beträgt etwa 1 Tag.
Auszahlungen werden direkt vom Raydium-Team bearbeitet, nicht durch Immunefi-Escrow – angegeben in USD und bezahlt in RAY, SOL oder USDC. Für die Auszahlungsbearbeitung ist keine KYC erforderlich.

Alternative: E-Mail-Einreichung

Erkenntnisse im Bounty-Umfang können auch per E-Mail statt (oder zusätzlich zu) Immunefi eingereicht werden:
  • security@raydium.io
  • security@reactorlabs.io
Fügen Sie einen vollständigen funktionierenden PoC ein, und für Berichte mit kritischem / hohem Schweregrad einen vorgeschlagenen Fix, genau wie auf Immunefi. Verschlüsseln Sie vertrauliche Details mit dem PGP-Schlüssel des Teams, falls erforderlich – fragen Sie in der E-Mail und das Team wird Schlüssel austauschen. Reichen Sie denselben Befund nicht gleichzeitig über mehrere Kanäle ein (wählen Sie Immunefi oder E-Mail).

Direkt (für kritische, zeitkritische Erkenntnisse)

Wenn die Erkenntnis aktiv ausgenutzt wird oder unmittelbar bevorsteht und Sie nicht auf die Immunefi-Triage warten können, ist der schnellste sekundäre Weg:
  • Direkte E-Mail an security@raydium.io oder security@reactorlabs.io – der schnellste Weg, um das Team direkt zu erreichen; kennzeichnen Sie die Betreffzeile als aktive Ausnutzung.
  • Immunefis Notfall-Button auf der Bounty-Seite – eskaliert innerhalb von Minuten während der Geschäftszeiten.
  • Verschlüsselte Kontaktaufnahme über Immunefi – Immunefi kann eine Ende-zu-Ende-verschlüsselte Nachricht an das Raydium-Team weitergeben.
Vermeiden Sie öffentliche Kanäle (X / Twitter, Telegram, Discord) für Sicherheitsberichte – die Offenlegung selbst kann Ausnutzung auslösen. Verwenden Sie Immunefi oder die obigen Security-E-Mails sowohl für den Bericht als auch für jede Folgekommunikation.

Non-Bounty-Berichte (SDK / API / UI)

Für Probleme in Komponenten außerhalb des Bounty – das SDK, die REST-APIs, das Frontend raydium.io oder andere Off-Chain-Infrastruktur – gibt es keine Auszahlung, aber das Team möchte dennoch davon erfahren. Verwenden Sie:
  • E-Mail: security@raydium.io oder security@reactorlabs.io für alles mit Sicherheitsauswirkungen (XSS, CSRF, Auth-Flow-Lecks, Signed-Message-Replay, Wallet-Spoofing, von einer API offengelegte vertrauliche Daten, usw.). Verschlüsseln Sie mit dem PGP-Schlüssel des Teams, wenn der Bug vertraulich ist; fragen Sie in der E-Mail und das Team wird Schlüssel austauschen.
  • GitHub Issues: für nicht-sicherheitsbezogene funktionale Fehler im SDK, der Dokumentation oder einem anderen von Raydium gepflegten Open-Source-Repo. Öffnen Sie ein Issue im relevanten Repository (z. B. raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): in Ordnung für Feedback mit geringen Auswirkungen auf UI / UX, das Sicherheit nicht berührt. Posten Sie nicht etwas, das einen Exploit ermöglichen könnte, wenn es von einem Fremden gelesen wird.
Was Sie von Non-Bounty-Berichten erhalten:
  • Bestätigung in der Antwort innerhalb weniger Geschäftstage.
  • Koordination über Repos hinweg, wenn der Fix sich über das Programm und das SDK erstreckt.
  • Öffentliche Anerkennung (mit Ihrer Zustimmung) in den relevanten Changelog- oder Release-Notes.
  • Wiederholte Reporter substantieller Erkenntnisse werden manchmal zu einem Contributor-Programm eingeladen; dieser Weg ist separat vom On-Chain-Bounty und wird nach Ermessen angeboten.
Was Sie nicht erhalten:
  • Eine skalierte Auszahlung, unabhängig vom Schweregrad. Der Bounty ist für Programmcode-Erkenntnisse.
  • Abdeckung unter der Safe-Harbor-Richtlinie unten – diese Richtlinie bezieht sich speziell auf Bounty-Umfang-Forschung. Für SDK-/API-/UI-Tests folgen Sie normalen Responsible-Disclosure-Konventionen und Standard-Nutzungsbedingungen.

Spielregeln

Tun Sie

  • Testen Sie nur gegen einen lokalen Fork von Mainnet oder öffentlichem Testnet. Alle Proof-of-Concept-Arbeiten müssen auf einem lokalen Fork durchgeführt werden.
  • Fügen Sie einen funktionierenden PoC in den Bericht ein (erforderlich für alle Schweregrade).
  • Schätzen Sie die wirtschaftliche Auswirkung nach bestem Wissen.
  • Schlagen Sie einen Fix vor – erforderlich für Berichte mit kritischem und hohem Schweregrad.

Tun Sie nicht

  • Testen Sie nicht auf Mainnet oder öffentlich bereitgestelltem Testnet-Code. Solche Tests sind verboten; verwenden Sie nur lokale Forks.
  • Testen Sie nicht mit Preis-Oracles oder Smart Contracts von Drittanbietern oder mit Systemen, Anwendungen, Browser-Erweiterungen oder Websites von Drittanbietern.
  • Offenbaren Sie die Sicherheitslücke nicht öffentlich, bevor ein Fix bereitgestellt wird (öffentliche Offenlegung eines ungepatchten Bugs in einem embargoed Bounty ist verboten).
  • Führen Sie keine automatisierten Tests durch, die erheblichen Traffic generieren, oder Denial-of-Service-Angriffe gegen Projekt-Assets.
  • Versuchen Sie nicht, Phishing oder andere Social Engineering gegen Raydium-Teammitglieder oder Benutzer durchzuführen.
  • Reichen Sie denselben Befund nicht über mehr als einen Kanal gleichzeitig ein – wählen Sie Immunefi oder E-Mail, nicht beides, und niemals über öffentliche DMs.
Diese folgen den Immunefi-Regeln; Verstöße machen den Bounty ungültig.

Antwort-Zeitplan

Die mediane Lösungszeit des Programms beträgt etwa 1 Tag (gemäß öffentlichem Immunefi-Listing). Die Phasen unten sind indikativ dafür, wie ein Bericht voranschreitet; genaue SLAs werden durch das Immunefi-Listing und den Triage-Prozess geregelt, nicht durch diese Seite:
PhaseIndikative Zeit
Anfängliche Triage~1 Tag (Median)
Schweregrad-KlassifizierungEinige Geschäftstage
Fix-EntwicklungHängt von Schweregrad + Komplexität ab
Fix-BereitstellungUnterliegt dem On-Chain-Program-Timelock
Bei kritischen Erkenntnissen beschleunigt sich der Fix-Track: Das Team beruft die Multisig ein, entwirft einen Fix, reicht ihn zur Überprüfung ein und reiht die timelocked Bereitstellung ein.

Was nicht öffentlich offenbaren

Bis ein Fix bereitgestellt und das Raydium-Team die Offenlegung mit Ihnen koordiniert hat:
  • Twittern Sie nicht über die Erkenntnis (auch nicht vage „Ich habe etwas Großes gefunden”).
  • Beschreiben Sie die Bug-Klasse nicht gegenüber Dritten.
  • Teilen Sie PoC-Code nicht mit jemandem außerhalb des Raydium-Triage-Teams.
Nach Fix-Bereitstellung + koordiniertem Offenlegungsfenster:
  • Öffentliche Writeups sind willkommen und werden ermutigt.
  • Raydium wird substantielle Writeups cross-promoten.
  • Forscher, die der Namensnennug zustimmen, werden in der Immunefi Whitehat Hall of Fame anerkannt.

Safe-Harbor-Richtlinie

Forschung, die im Umfang und den Regeln oben durchgeführt wird, ist ausdrücklich autorisiert. Raydium:
  • Wird keine rechtlichen Schritte gegen gutgläubige Forschung einleiten, die dieser Richtlinie folgt.
  • Wird Forschungsaktivitäten nicht behindern (z. B. Forscher-Wallets auf die schwarze Liste setzen).
  • Wird bei der Verständigung der Erkenntnis zusammenarbeiten.
Forschung außerhalb des Umfangs oder der Regeln ist nicht durch Safe Harbor geschützt. Wenn Ihr Forschungsplan grenzwertig ist, fragen Sie über Immunefis „Ask Project”-Kanal, bevor Sie testen.

Bemerkenswerte frühere Offenlegungen

Aggregierte Statistiken für den Programmcode-Bounty, der seit dem 25. April 2023 auf Immunefi läuft (Zahlen gemäß öffentlichem Immunefi-Listing):
  • Insgesamt bis heute gezahlte Belohnungen: ~$3,4M.
  • Mediane Lösungszeit: ~1 Tag.
Die Immunefi Whitehat Hall of Fame listet Forscher auf, die der Namensnennug zustimmten. Non-Bounty-Berichte (SDK / API / UI) werden separat verfolgt und in den Release-Notes des relevanten Repositorys anerkannt, anstatt auf Immunefi.

Verwandte Programme

  • Solana Foundation Bug Bounty – deckt Solana-Validator-Client-Fehler ab (sealevel, consensus). Berichten Sie dort für Solana-Ebene-Probleme. solana.com/security.
  • Squads Protocol Bug Bounty – deckt die Multisig selbst ab. squads.so/security.
  • Immunefi – deckt viele DeFi-Protokolle einschließlich Raydium ab. immunefi.com.
Ein Bug, der sich über Ebenen erstreckt (z. B. ein Solana-Validator-Bug, der sich auf Raydium manifestiert), sollte an alle anwendbaren Programme gemeldet werden.

Verweise

Quellen: