Zum Hauptinhalt springen

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

Diese Seite wurde mit KI automatisch übersetzt. Maßgeblich ist stets die englische Version.Englische Version ansehen →
Raydium betreibt ein aktives Bug-Bounty-Programm das ausschließlich den On-Chain-Programmcode abdeckt — die Solana Smart Contracts unter den Program IDs aus reference/program-addresses. Die Auszahlungen skalieren mit dem Schweregrad und wirtschaftlichen Auswirkungen und erreichen bis zu $500.000 in der höchsten kritischen Stufe.Das SDK, die REST-APIs und das Frontend (raydium.io) sind nicht Teil des Bounty-Programms. Probleme dort werden nicht bezahlt, aber Meldungen sind willkommen — siehe Nicht-Bounty-Meldungen (SDK / API / UI) unten für den Kontaktweg.Diese Seite ist die verbindliche Quelle für den Umfang des Bounty-Programms, wie Sie berichten und was Sie vom Antwortprozess erwarten können.

Umfang

Im Bounty-Umfang enthalten (bezahlt)

Das Bounty-Programm gilt nur für bereitgestellten On-Chain-Programmcode:
  • Bereitgestellte Programme unter den Program IDs in reference/program-addresses:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • Smart-Contract-CPI-Kompatibilitätsfehler, bei denen die korrekte Verwendung eines Raydium-Programms durch ein zusammengesetztes Programm dazu führt, dass sich das Raydium-Programm selbst falsch verhält.

Nicht im Bounty-Umfang (Meldung willkommen — siehe unten)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) auf npm.
  • REST-APIs (alle Hosts aus der API-Referenzapi-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, usw.).
  • Frontend (raydium.io) — einschließlich XSS, CSRF, Auth-Flow-Fehler, Wallet-Spoofing, fehlerhafte UI-Zustände.
  • Off-Chain-Indexer, Bild-/IPFS-Gateways und sonstige Infrastruktur, die Daten in die UI liefert.
Diese werden nicht bezahlt. Meldungen sind jedoch willkommen und hilfreich — reichen Sie diese über den Nicht-Bounty-Kanal unten ein.

Außerhalb des Umfangs (nicht berechtigt)

  • Drittanbieter-Programme, die mit Raydium zusammengesetzt sind (melden Sie diese den entsprechenden Teams).
  • Drittanbieter-Aggregatoren, die über Raydium routen (z. B. Jupiter).
  • Off-Chain-Tools nicht von Raydium gepflegt (Community SDKs in Python, Bots von Drittanbietern, usw.).
  • Social-Engineering-Angriffe gegen Raydium-Teammitglieder.
  • Alle Erkenntnisse, die Validator-seitige Absprachen oder Majority-Stake-Angriffe erfordern (dies ist Solana-Schicht, kein DeFi-Bounty-Ziel).
  • DoS durch Spamming öffentlicher RPC-Endpunkte.
  • Ausgaben von automatisierten Scan-Tools ohne funktionierenden Proof-of-Concept.

Grauzone — erst diskutieren

  • Fehler in MEV-Widerstands-Primitiven, die mit externer Infrastruktur interagieren.
  • Token-2022-Integrations-Grenzfälle, bei denen das „korrekte” Verhalten mehrdeutig ist.
  • Wirtschaftliche / spieltheoretische Angriffe, die sich nicht sauber auf einen Code-Fehler abbilden lassen.
Wenn Sie unsicher sind, melden Sie es lieber.

Schweregrad-Klassifizierung

Die Auszahlungen basieren auf einer Mischung aus Schweregrad und wirtschaftlichen Auswirkungen. Beispiele pro Stufe:

Kritisch — $100.000–$500.000

  • Entleerung der LP-Mittel eines Benutzers durch eine gültige Raydium-Anweisung.
  • Unbegrenztes Minting von LP-Token.
  • Umgehung der Programm-Upgrade-Autorität.
  • Fehler zum Diebstahl aller Protokoll-Gebühren.
  • Die Pool-Buchhaltung so dauerhaft falsch machen, dass künftige LP beschädigt werden.

Hoch — $25.000–$100.000

  • Diebstahl ausstehender Belohnungen aus Farmen oder CLMM-Positionen.
  • Eine Position eines Benutzers einfrieren (kann nicht geschlossen werden) über eine bösartige Transaktion.
  • Pool-Mathematik so manipulieren, dass rentable Extraktion mit moderatem Kapital möglich ist.
  • Umgehung des Slippage-Schutzes.

Mittel — $5.000–$25.000

  • Störanfälliger DoS eines bestimmten Pools (alle Swaps werden zurückgewiesen).
  • Rundungsfehler, die systematisch Angreifer begünstigen, aggregiert über viele Swaps.
  • Gebührenfehlberechnung, die einigen Benutzern auf Kosten anderer Vorteile bietet.
  • CLMM-Tick-Array-Beschädigung, die manuelle Admin-Intervention zur Behebung erfordert.

Niedrig — $500–$5.000

  • Bugs zur Informationsoffenlegung (nicht öffentliche Zustände offenbaren).
  • Fehlerbehandlungsmängel, die die Diagnose erschweren.
  • Grenzfälle, die sauber zurückgewiesen werden, aber elegant hätten behandelt werden sollen.
  • Tippfehler in Fehlermeldungen, die Verwirrtung verursachen.

Informativ — Keine Auszahlung (aber Anerkennung)

  • Code-Qualitätsvorschläge.
  • Dokumentationsverbesserungen.
  • Gasoptimierungen ohne Sicherheitsauswirkungen.

Wirtschaftlicher Auswirkungsmultiplikator

Für Fehler, die die Stufen-Anforderungen erfüllen, wird die Auszahlung zusätzlich gewichtet durch:
  • Direktes Verlustpotenzial — wie viel TVL kann praktisch extrahiert werden?
  • Ausnutzbarkeit — ist es trivial aufrufbar oder erfordert es spezifische Vorbedingungen?
  • Reproduzierbarkeit — funktioniert der Exploit jedes Mal oder nur unter seltenen Bedingungen?
Ein kritisch-schweres Sicherheitsproblem, das einen $10M-Pool betrifft, zahlt mehr aus als ein kritisch-schweres, das einen $100k-Pool betrifft, obwohl beide kritisch sind.

Kontaktwege

Primär: Immunefi

Das Bug-Bounty-Programm von Raydium ist auf Immunefi aufgelistet. Melden Sie es über die Immunefi-Plattform:
  1. Erstellen Sie ein Immunefi-Konto.
  2. Navigieren Sie zur Raydium-Bounty-Seite.
  3. Reichen Sie die Erkenntnisse mit vollständigem PoC ein.
  4. Triage typischerweise innerhalb von 24 Stunden.
Immunefi verwaltet Escrow und Auszahlung, sobald die Erkenntnisse bestätigt sind.

Direkt (für kritische, zeitkritische Erkenntnisse)

Wenn die Erkenntnisse aktiv ausgenutzt werden oder unmittelbar bevorstehen und Sie nicht auf Immunefi-Triage warten können, ist der schnellste sekundäre Weg:
  • Immunefi’s Notfalltaste auf der Bounty-Seite — eskaliert innerhalb von Minuten während der Geschäftszeiten.
  • Verschlüsselter Kontakt über Immunefi — Immunefi kann eine end-to-end verschlüsselte Nachricht an das Raydium-Team weiterleiten.
Vermeiden Sie öffentliche Kanäle (X / Twitter, Telegram, Discord) für Sicherheitsmeldungen — die Offenlegung selbst kann zur Ausnutzung führen. Nutzen Sie Immunefi für beide den Bericht und alle nachfolgend etablierten Kontaktkanäle.

Nicht-Bounty-Meldungen (SDK / API / UI)

Für Probleme in Komponenten außerhalb des Bounty-Programms — das SDK, die REST-APIs, das raydium.io-Frontend oder sonstige Off-Chain-Infrastruktur — gibt es keine Auszahlung, aber das Team möchte trotzdem davon erfahren. Verwenden Sie:
  • E-Mail: security@raydium.io für alles mit Sicherheitsauswirkungen (XSS, CSRF, Auth-Flow-Lecks, signierte Nachrichtenwiederholung, Wallet-Spoofing, sensitive Daten von einer API usw.). Verschlüsseln Sie mit dem PGP-Schlüssel des Teams, wenn der Fehler empfindlich ist; fragen Sie in der E-Mail und das Team wird Schlüssel austauschen.
  • GitHub-Issues: für nicht-sicherheitsbezogene funktionale Fehler im SDK, der Dokumentation oder sonstige von Raydium gepflegte Open-Source-Repos. Öffnen Sie ein Issue im relevanten Repository (z. B. raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): in Ordnung für gering wirkungsvolle UI/UX-Rückmeldungen, die nichts mit Sicherheit zu tun haben. Posten Sie nichts, das einen Exploit ermöglichen könnte, wenn es von einem Fremden gelesen wird.
Was Sie von Nicht-Bounty-Meldungen erhalten:
  • Anerkennung in der Antwort innerhalb weniger Geschäftstage.
  • Koordination über Repos hinweg, wenn die Behebung das Programm und das SDK umfasst.
  • Öffentliche Anerkennung (mit Ihrer Zustimmung) in den relevanten Changelog- oder Release-Notizen.
  • Wiederholte Melder substantieller Erkenntnisse werden manchmal zu einem Contributor-Programm eingeladen; dieser Weg ist separat vom On-Chain-Bounty und wird auf diskretionärer Basis angeboten.
Was Sie nicht erhalten:
  • Eine skalierte Auszahlung, unabhängig vom Schweregrad. Das Bounty-Programm ist für Programmcode-Erkenntnisse.
  • Abdeckung unter der Schutzrichtlinie unten — diese Richtlinie bezieht sich speziell auf Bounty-Umfang-Forschung. Für SDK-/API-/UI-Tests befolgen Sie normale verantwortungsvolle Offenlegungskonventionen und Standard-Nutzungsbedingungen.

Spielregeln

Machen Sie

  • Verwenden Sie Ihre eigenen Mittel auf Mainnet für Proof-of-Concept (kleine Beträge).
  • Entwickeln Sie gegen Devnet oder einen verzweigten Mainnet-Validator, wenn möglich.
  • Fügen Sie einen funktionierenden PoC in den Bericht ein.
  • Schätzen Sie die wirtschaftlichen Auswirkungen nach bestem Wissen.
  • Schlagen Sie einen Fix vor, wenn Sie einen im Sinn haben.

Machen Sie nicht

  • Offenbaren Sie die Sicherheitslücke öffentlich, bevor ein Fix bereitgestellt wird.
  • Versuchen Sie, mehr Mittel zu extrahieren als nötig, um den Fehler zu demonstrieren.
  • Führen Sie Angriffe gegen die Mittel anderer Benutzer durch.
  • Reichen Sie denselben Fund auf mehreren Plattformen ein (Immunefi, Twitter DM, E-Mail).
  • Versuchen Sie Social Engineering gegen Raydium-Teammitglieder.
  • Testen Sie Authentifizierung oder DoS gegen raydium.io-Infrastruktur.
Verstöße gegen diese Regeln invalidieren das Bounty-Programm.

Antwort-Zeitplan

PhaseZielzeit
Anfängliche Triage≤ 24 Stunden
Schweregrad-Klassifizierung≤ 3 Geschäftstage
Fix-Entwicklung1–30 Tage (hängt vom Schweregrad + Komplexität ab)
Fix-BereitstellungUnterliegt 24h-Timelock für On-Chain-Programme
Auszahlung14 Tage nach Fix-Bereitstellung
Für kritische Erkenntnisse beschleunigt sich der Fix-Track: das Team ruft das 3/4 Multisig sofort auf, entwirft einen Fix, reicht zur Überprüfung ein, reiht das Timelock-Deploy in die Warteschlange. Sie können Aktualisierungen alle 24 Stunden während einer kritischen Reaktion erwarten.

Was Sie öffentlich nicht offenbaren sollten

Bis ein Fix bereitgestellt und das Raydium-Team die Offenlegung mit Ihnen abgestimmt hat:
  • Tweeten Sie nicht über die Erkenntnisse (auch nicht vage „Ich habe etwas Großes gefunden”).
  • Beschreiben Sie die Fehlerklasse nicht Dritten gegenüber.
  • Teilen Sie PoC-Code nicht mit jemandem außerhalb des Raydium-Triage-Teams.
Nach Fix-Bereitstellung + abgestimmtem Offenlegungsfenster:
  • Öffentliche Writeups sind willkommen und gefördert.
  • Raydium wird substantielle Writeups cross-promoten.
  • Forscher, die sich namentlich nennen lassen, werden auf der Immunefi Raydium Leaderboard angerechnet.

Schutzrichtlinie

Forschung, die im Rahmen des obigen Umfangs und der Regeln durchgeführt wird, ist explizit autorisiert. Raydium:
  • wird keine Klage gegen gutgläubige Forschung erheben, die dieser Richtlinie folgt.
  • wird nicht in Forschungsaktivitäten eingreifen (z. B. Forscher-Wallets blacklisten).
  • wird zusammenarbeiten, um die Erkenntnisse zu verstehen.
Forschung außerhalb des Umfangs oder der Regeln ist nicht durch die Schutzrichtlinie geschützt. Wenn Ihr Forschungsplan grenzwertig ist, fragen Sie über Immunefi’s „Ask Project”-Kanal, bevor Sie testen.

Bemerkenswerte bisherige Offenlegungen

Aggregierte Statistiken für das Programmcode-Bounty seit Programmbeginn (2021):
  • 200+ in-Umfang-Meldungen eingereicht über alle Schweregrad-Stufen.
  • 18 kritisch-schwere Erkenntnisse bezahlt, insgesamt ~$2M.
  • 60+ hoch-schwere Erkenntnisse bezahlt.
  • Mediane Antwortzeit (anfängliche Triage): 8 Stunden.
  • 0 öffentliche Offenlegungen, die den abgestimmten Prozess umgingen.
Die Hall of Fame listet Forscher auf, die sich namentlich nennen ließen. Nicht-Bounty-Meldungen (SDK / API / UI) werden separat verfolgt und in den Release-Notizen des relevanten Repositories anerkannt, anstatt auf der Immunefi Leaderboard.

Verwandte Programme

  • Solana Foundation Bug Bounty — deckt Solana Validator-Client-Fehler ab (sealevel, consensus). Melden Sie dort für Solana-Schicht-Probleme. solana.com/security.
  • Squads Protocol Bug Bounty — deckt Multisig selbst ab. squads.so/security.
  • Immunefi — deckt viele DeFi-Protokolle einschließlich Raydium ab. immunefi.com.
Ein Fehler, der sich über Schichten erstreckt (z. B. ein Solana-Validator-Fehler, der sich auf Raydium manifestiert), sollte allen anwendbaren Programmen gemeldet werden.

Zeiger

Quellen: