Diese Seite wurde mit KI automatisch übersetzt. Maßgeblich ist stets die englische Version.Englische Version ansehen →
Raydium betreibt ein aktives Bug-Bounty-Programm, das ausschließlich den On-Chain-Programmcode abdeckt – die Solana Smart Contracts unter den in
reference/program-addresses aufgelisteten Program IDs. Das Programm läuft seit dem 25. April 2023 auf Immunefi. Die Auszahlungen skalieren mit dem Schweregrad und der wirtschaftlichen Auswirkung und erreichen bis zu $505.000 in der obersten kritischen Stufe.Das SDK, die REST-APIs und das Frontend (raydium.io) sind nicht Teil des Bounty. Probleme dort werden nicht bezahlt, aber Berichte sind dennoch willkommen – siehe Non-Bounty-Berichte (SDK / API / UI) unten für den Kontaktweg.Diese Seite ist die maßgebliche Quelle dafür, was der Bounty abdeckt, wie man berichtet und was man vom Antwortprozess erwarten kann.Umfang
Im Bounty-Umfang (bezahlt)
Der Bounty gilt nur für bereitgestellten On-Chain-Programmcode:- Bereitgestellte Programme unter den Program IDs in
reference/program-addresses:- AMM v4 (
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM (
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM (
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM (
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab (
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn (
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4 (
- Smart-Contract-CPI-Komposabilitätsfehler, bei denen die korrekte Verwendung eines Raydium-Programms durch ein zusammengesetztes Programm dazu führt, dass sich das Raydium-Programm selbst fehlerhaft verhält.
Nicht im Bounty-Umfang (Berichte willkommen – siehe unten)
- Raydium SDK v2 (
@raydium-io/raydium-sdk-v2) auf npm. - REST-APIs (jeder Host in der API-Referenz –
api-v3.raydium.io,transaction-v1.raydium.io,launch-*-v1.raydium.io, usw.). - Frontend (
raydium.io) – einschließlich XSS, CSRF, Auth-Flow-Fehler, Wallet-Spoofing, fehlerhafte UI-Zustände. - Off-Chain-Indexer, Bild-/IPFS-Gateways und andere Infrastruktur, die Daten in die UI bereitstellt.
Außerhalb des Umfangs (nicht berechtigt)
- Programme von Drittanbietern, die mit Raydium zusammengesetzt werden (berichten Sie deren Teams).
- Aggregatoren von Drittanbietern, die über Raydium routen (z. B. Jupiter).
- Off-Chain-Tools, die nicht von Raydium gepflegt werden (Community-SDKs in Python, Bots von Drittanbietern, usw.).
- Social-Engineering-Angriffe gegen Raydium-Teammitglieder.
- Alle Erkenntnisse, die Validator-seitige Absprachen oder Mehrheits-Stake-Angriffe erfordern (dies ist Solana-Ebene, kein DeFi-Bounty-Ziel).
- DoS durch Spam öffentlicher RPC-Endpunkte.
- Ausgaben von automatisierten Scan-Tools ohne funktionierenden Proof-of-Concept.
- AMM v4 / OpenBook-Abhängigkeiten – Fehler bezüglich OpenBook-Abhängigkeiten sind nicht im Umfang enthalten. AMM v4 ist auf Status 6 gesetzt, daher wird Liquidität nicht mehr zu OpenBook-Märkten geteilt.
- Erkenntnisse, die bereits in früheren Sicherheitsüberprüfungen gekennzeichnet wurden, sind nicht berechtigt: die Ottersec-Überprüfung von CLMM und die Kudelski-, Ottersec- und MadShield-Überprüfungen des Hybrid-AMM-Programms. Das erneute Melden eines bereits offengelegten Problems wird nicht bezahlt.
- CLMM-Yield-Claim-Fehler nach Design – das CLMM gibt Handelsgebühren- und Farming-Yield-Token an LPs aus. Wenn ein Angreifer den Vault oder die Gebühren-Token geleert hätte, könnten Benutzer Yield nicht beanspruchen und Transaktionen würden fehlschlagen. Dies ist beabsichtigt und wird nicht als Sicherheitslücke betrachtet.
Grauzone – zuerst besprechen
- Fehler in MEV-Widerstands-Primitiven, die mit externer Infrastruktur interagieren.
- Token-2022-Integrations-Grenzfälle, bei denen das „korrekte” Verhalten mehrdeutig ist.
- Wirtschaftliche / spieltheoretische Angriffe, die sich nicht sauber auf einen Code-Fehler abbilden lassen.
Schweregrad und Belohnungen
Berichte werden anhand des Immunefi Vulnerability Severity Classification System V2.3 unter einem Primacy of Rules-Modell klassifiziert: Die Bedingungen auf dieser Seite und das Immunefi-Listing sind maßgeblich und haben Vorrang vor der Standardklassifizierung, wenn sie abweichen. Belohnungen werden in USD angegeben und von Raydium in RAY, SOL oder USDC bezahlt. Die Smart-Contract-Belohnungsstufen sind:| Schweregrad | Belohnung |
|---|---|
| Kritisch | 10 % der direkt betroffenen Mittel, begrenzt auf $505.000, mit einem Minimum von $50.000 |
| Hoch | $5.000–$40.000 |
| Mittel | Pauschal $5.000 |
Berechnung der kritischen Belohnung
Für Mainnet-Assets beträgt die kritische Belohnung 10 % der direkt betroffenen Mittel, bis zu einem Maximum von $505.000. Wenn 10 % der gefährdeten Mittel unter $50.000 liegen, wird der Bericht dennoch mit dem Minimum von $50.000 bezahlt. Die Obergrenze und die Grundlage von 10 % der gefährdeten Mittel gelten für kritische Smart-Contract-Berichte.Auswirkungen im Umfang
Der Bounty verwendet Immunefis standardisierte Auswirkungstaxonomie. Raydium-spezifische Beispiele werden gegeben, um zu veranschaulichen, wie sich jede Auswirkung auf die Programme abbildet. Kritisch- Direkter Diebstahl von Benutzermitteln, ob in Ruhe oder in Bewegung, mit Ausnahme ungeforderter Yields – z. B. Entleerung von LP-Mitteln eines Benutzers über eine gültige Raydium-Anweisung oder unbegrenztes Minting von LP-Token.
- Permanente Sperrung von Mitteln – z. B. Beschädigung der Pool-Buchhaltung, sodass Mittel dauerhaft nicht wiederhergestellt werden können.
- Sicherheitslücken, die Benutzermittel dauerhaft sperren könnten oder Mittel ohne Benutzertransaktionsgenehmigung abziehen oder stehlen – z. B. Umgehung der Program-Upgrade-Autorität oder ein Steal-All-Protocol-Fees-Bug.
- Diebstahl ungeforderter Yields – z. B. Diebstahl ausstehender Belohnungen von Farms oder CLMM-Positionen.
- Permanente Sperrung ungeforderter Yields.
- Temporäre Sperrung von Mitteln für beliebig lange Zeit – z. B. Sperrung einer Benutzerposition, sodass sie diese nicht über eine böswillige Tx schließen können.
- Sicherheitslücken, die Benutzermittel vorübergehend sperren könnten oder absichtlich den Wert von Benutzermitteln verändern – z. B. Manipulation der Pool-Mathematik oder Umgehung des Slippage-Schutzes.
- Smart Contract kann aufgrund fehlender Token-Mittel nicht betrieben werden.
- Block Stuffing für Gewinn.
- Griefing (kein Gewinnmotiv für den Angreifer, aber Schaden für Benutzer oder das Protokoll) – z. B. ein griefbarer DoS, bei dem alle Swaps in einem Pool zurückgewiesen werden.
- Diebstahl von Gas.
- Unbegrenzter Gasverbrauch.
Kontaktwege
Primär: Immunefi
Raydiums Bug Bounty ist auf Immunefi aufgelistet. Berichten Sie über die Immunefi-Plattform:- Erstellen Sie ein Immunefi-Konto.
- Navigieren Sie zur Raydium-Bounty-Seite.
- Reichen Sie die Erkenntnis mit einem vollständigen PoC ein. Ein Proof-of-Concept ist für alle Schweregrade erforderlich – Erklärungen und Aussagen werden nicht akzeptiert, funktionierender Code ist erforderlich. Berichte mit kritischem und hohem Schweregrad sollten auch einen vorgeschlagenen Fix enthalten.
- Berichte werden schnell bearbeitet – die mediane Lösungszeit des Programms beträgt etwa 1 Tag.
Alternative: E-Mail-Einreichung
Erkenntnisse im Bounty-Umfang können auch per E-Mail statt (oder zusätzlich zu) Immunefi eingereicht werden:security@raydium.iosecurity@reactorlabs.io
Direkt (für kritische, zeitkritische Erkenntnisse)
Wenn die Erkenntnis aktiv ausgenutzt wird oder unmittelbar bevorsteht und Sie nicht auf die Immunefi-Triage warten können, ist der schnellste sekundäre Weg:- Direkte E-Mail an
security@raydium.ioodersecurity@reactorlabs.io– der schnellste Weg, um das Team direkt zu erreichen; kennzeichnen Sie die Betreffzeile als aktive Ausnutzung. - Immunefis Notfall-Button auf der Bounty-Seite – eskaliert innerhalb von Minuten während der Geschäftszeiten.
- Verschlüsselte Kontaktaufnahme über Immunefi – Immunefi kann eine Ende-zu-Ende-verschlüsselte Nachricht an das Raydium-Team weitergeben.
Non-Bounty-Berichte (SDK / API / UI)
Für Probleme in Komponenten außerhalb des Bounty – das SDK, die REST-APIs, das Frontendraydium.io oder andere Off-Chain-Infrastruktur – gibt es keine Auszahlung, aber das Team möchte dennoch davon erfahren. Verwenden Sie:
- E-Mail:
security@raydium.ioodersecurity@reactorlabs.iofür alles mit Sicherheitsauswirkungen (XSS, CSRF, Auth-Flow-Lecks, Signed-Message-Replay, Wallet-Spoofing, von einer API offengelegte vertrauliche Daten, usw.). Verschlüsseln Sie mit dem PGP-Schlüssel des Teams, wenn der Bug vertraulich ist; fragen Sie in der E-Mail und das Team wird Schlüssel austauschen. - GitHub Issues: für nicht-sicherheitsbezogene funktionale Fehler im SDK, der Dokumentation oder einem anderen von Raydium gepflegten Open-Source-Repo. Öffnen Sie ein Issue im relevanten Repository (z. B.
raydium-io/raydium-sdk-V2). - Discord (
discord.gg/raydium): in Ordnung für Feedback mit geringen Auswirkungen auf UI / UX, das Sicherheit nicht berührt. Posten Sie nicht etwas, das einen Exploit ermöglichen könnte, wenn es von einem Fremden gelesen wird.
- Bestätigung in der Antwort innerhalb weniger Geschäftstage.
- Koordination über Repos hinweg, wenn der Fix sich über das Programm und das SDK erstreckt.
- Öffentliche Anerkennung (mit Ihrer Zustimmung) in den relevanten Changelog- oder Release-Notes.
- Wiederholte Reporter substantieller Erkenntnisse werden manchmal zu einem Contributor-Programm eingeladen; dieser Weg ist separat vom On-Chain-Bounty und wird nach Ermessen angeboten.
- Eine skalierte Auszahlung, unabhängig vom Schweregrad. Der Bounty ist für Programmcode-Erkenntnisse.
- Abdeckung unter der Safe-Harbor-Richtlinie unten – diese Richtlinie bezieht sich speziell auf Bounty-Umfang-Forschung. Für SDK-/API-/UI-Tests folgen Sie normalen Responsible-Disclosure-Konventionen und Standard-Nutzungsbedingungen.
Spielregeln
Tun Sie
- Testen Sie nur gegen einen lokalen Fork von Mainnet oder öffentlichem Testnet. Alle Proof-of-Concept-Arbeiten müssen auf einem lokalen Fork durchgeführt werden.
- Fügen Sie einen funktionierenden PoC in den Bericht ein (erforderlich für alle Schweregrade).
- Schätzen Sie die wirtschaftliche Auswirkung nach bestem Wissen.
- Schlagen Sie einen Fix vor – erforderlich für Berichte mit kritischem und hohem Schweregrad.
Tun Sie nicht
- Testen Sie nicht auf Mainnet oder öffentlich bereitgestelltem Testnet-Code. Solche Tests sind verboten; verwenden Sie nur lokale Forks.
- Testen Sie nicht mit Preis-Oracles oder Smart Contracts von Drittanbietern oder mit Systemen, Anwendungen, Browser-Erweiterungen oder Websites von Drittanbietern.
- Offenbaren Sie die Sicherheitslücke nicht öffentlich, bevor ein Fix bereitgestellt wird (öffentliche Offenlegung eines ungepatchten Bugs in einem embargoed Bounty ist verboten).
- Führen Sie keine automatisierten Tests durch, die erheblichen Traffic generieren, oder Denial-of-Service-Angriffe gegen Projekt-Assets.
- Versuchen Sie nicht, Phishing oder andere Social Engineering gegen Raydium-Teammitglieder oder Benutzer durchzuführen.
- Reichen Sie denselben Befund nicht über mehr als einen Kanal gleichzeitig ein – wählen Sie Immunefi oder E-Mail, nicht beides, und niemals über öffentliche DMs.
Antwort-Zeitplan
Die mediane Lösungszeit des Programms beträgt etwa 1 Tag (gemäß öffentlichem Immunefi-Listing). Die Phasen unten sind indikativ dafür, wie ein Bericht voranschreitet; genaue SLAs werden durch das Immunefi-Listing und den Triage-Prozess geregelt, nicht durch diese Seite:| Phase | Indikative Zeit |
|---|---|
| Anfängliche Triage | ~1 Tag (Median) |
| Schweregrad-Klassifizierung | Einige Geschäftstage |
| Fix-Entwicklung | Hängt von Schweregrad + Komplexität ab |
| Fix-Bereitstellung | Unterliegt dem On-Chain-Program-Timelock |
Was nicht öffentlich offenbaren
Bis ein Fix bereitgestellt und das Raydium-Team die Offenlegung mit Ihnen koordiniert hat:- Twittern Sie nicht über die Erkenntnis (auch nicht vage „Ich habe etwas Großes gefunden”).
- Beschreiben Sie die Bug-Klasse nicht gegenüber Dritten.
- Teilen Sie PoC-Code nicht mit jemandem außerhalb des Raydium-Triage-Teams.
- Öffentliche Writeups sind willkommen und werden ermutigt.
- Raydium wird substantielle Writeups cross-promoten.
- Forscher, die der Namensnennug zustimmen, werden in der Immunefi Whitehat Hall of Fame anerkannt.
Safe-Harbor-Richtlinie
Forschung, die im Umfang und den Regeln oben durchgeführt wird, ist ausdrücklich autorisiert. Raydium:- Wird keine rechtlichen Schritte gegen gutgläubige Forschung einleiten, die dieser Richtlinie folgt.
- Wird Forschungsaktivitäten nicht behindern (z. B. Forscher-Wallets auf die schwarze Liste setzen).
- Wird bei der Verständigung der Erkenntnis zusammenarbeiten.
Bemerkenswerte frühere Offenlegungen
Aggregierte Statistiken für den Programmcode-Bounty, der seit dem 25. April 2023 auf Immunefi läuft (Zahlen gemäß öffentlichem Immunefi-Listing):- Insgesamt bis heute gezahlte Belohnungen: ~$3,4M.
- Mediane Lösungszeit: ~1 Tag.
Verwandte Programme
- Solana Foundation Bug Bounty – deckt Solana-Validator-Client-Fehler ab (sealevel, consensus). Berichten Sie dort für Solana-Ebene-Probleme. solana.com/security.
- Squads Protocol Bug Bounty – deckt die Multisig selbst ab. squads.so/security.
- Immunefi – deckt viele DeFi-Protokolle einschließlich Raydium ab. immunefi.com.
Verweise
security/audits– frühere Audit-Historie.security/admin-and-multisig– Autoritätsstruktur.security/attack-vectors– bekannte Angriffsklassen.
- Immunefi Raydium Bounty-Seite – kanonischer Umfang, Auszahlungsbedingungen und Kontaktweg.

