> ## Documentation Index
> Fetch the complete documentation index at: https://docs.raydium.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Verantwortungsvolle Offenlegung

> Raydiums Bug-Bounty-Programm: Umfang (nur On-Chain-Programmcode), Schweregrad-Stufen und Belohnungen, Kontaktwege (Immunefi oder Security-E-Mail), Auszahlungsstruktur sowie der Non-Bounty-Kanal für SDK-/UI-/API-Probleme.

<Info>
  **Diese Seite wurde mit KI automatisch übersetzt. Maßgeblich ist stets die englische Version.**

  [Englische Version ansehen →](/security/disclosure)
</Info>

<Info>
  Raydium betreibt ein aktives Bug-Bounty-Programm, das **ausschließlich den On-Chain-Programmcode abdeckt** – die Solana Smart Contracts unter den in [`reference/program-addresses`](/de/reference/program-addresses) aufgelisteten Program IDs. Das Programm läuft seit dem 25. April 2023 auf Immunefi. Die Auszahlungen skalieren mit dem Schweregrad und der wirtschaftlichen Auswirkung und erreichen bis zu \$505.000 in der obersten kritischen Stufe.

  **Das SDK, die REST-APIs und das Frontend (raydium.io) sind nicht Teil des Bounty.** Probleme dort werden nicht bezahlt, aber Berichte sind dennoch willkommen – siehe [Non-Bounty-Berichte (SDK / API / UI)](#non-bounty-berichte-sdk-api-ui) unten für den Kontaktweg.

  Diese Seite ist die maßgebliche Quelle dafür, was der Bounty abdeckt, wie man berichtet und was man vom Antwortprozess erwarten kann.
</Info>

## Umfang

### Im Bounty-Umfang (bezahlt)

Der Bounty gilt **nur für bereitgestellten On-Chain-Programmcode**:

* **Bereitgestellte Programme** unter den Program IDs in [`reference/program-addresses`](/de/reference/program-addresses):
  * AMM v4 (`675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8`)
  * CPMM (`CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C`)
  * CLMM (`CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK`)
  * Stable AMM (`5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h`)
  * LaunchLab (`LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj`)
  * Farm v3 / v5 / v6
  * LP-Lock / Burn & Earn (`LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE`)
  * AMM Routing
* **Smart-Contract-CPI-Komposabilitätsfehler**, bei denen die korrekte Verwendung eines Raydium-Programms durch ein zusammengesetztes Programm dazu führt, dass sich das Raydium-Programm selbst fehlerhaft verhält.

### Nicht im Bounty-Umfang (Berichte willkommen – siehe unten)

* **Raydium SDK v2** (`@raydium-io/raydium-sdk-v2`) auf npm.
* **REST-APIs** (jeder Host in der [API-Referenz](/de/api-reference) – `api-v3.raydium.io`, `transaction-v1.raydium.io`, `launch-*-v1.raydium.io`, usw.).
* **Frontend** (`raydium.io`) – einschließlich XSS, CSRF, Auth-Flow-Fehler, Wallet-Spoofing, fehlerhafte UI-Zustände.
* **Off-Chain-Indexer, Bild-/IPFS-Gateways und andere Infrastruktur**, die Daten in die UI bereitstellt.

Diese werden nicht bezahlt. Berichte sind dennoch willkommen und hilfreich – reichen Sie sie über den [Non-Bounty-Kanal](#non-bounty-berichte-sdk-api-ui) unten ein.

### Außerhalb des Umfangs (nicht berechtigt)

* Programme von Drittanbietern, die mit Raydium zusammengesetzt werden (berichten Sie deren Teams).
* Aggregatoren von Drittanbietern, die über Raydium routen (z. B. Jupiter).
* Off-Chain-Tools, die **nicht von Raydium gepflegt werden** (Community-SDKs in Python, Bots von Drittanbietern, usw.).
* Social-Engineering-Angriffe gegen Raydium-Teammitglieder.
* Alle Erkenntnisse, die Validator-seitige Absprachen oder Mehrheits-Stake-Angriffe erfordern (dies ist Solana-Ebene, kein DeFi-Bounty-Ziel).
* DoS durch Spam öffentlicher RPC-Endpunkte.
* Ausgaben von automatisierten Scan-Tools ohne funktionierenden Proof-of-Concept.

**Programmspezifische Ausschlüsse (gemäß Immunefi-Listing):**

* **AMM v4 / OpenBook-Abhängigkeiten** – Fehler bezüglich OpenBook-Abhängigkeiten sind nicht im Umfang enthalten. AMM v4 ist auf Status 6 gesetzt, daher wird Liquidität nicht mehr zu OpenBook-Märkten geteilt.
* **Erkenntnisse, die bereits in früheren Sicherheitsüberprüfungen gekennzeichnet wurden**, sind nicht berechtigt: die Ottersec-Überprüfung von CLMM und die Kudelski-, Ottersec- und MadShield-Überprüfungen des Hybrid-AMM-Programms. Das erneute Melden eines bereits offengelegten Problems wird nicht bezahlt.
* **CLMM-Yield-Claim-Fehler nach Design** – das CLMM gibt Handelsgebühren- und Farming-Yield-Token an LPs aus. Wenn ein Angreifer den Vault oder die Gebühren-Token geleert hätte, könnten Benutzer Yield nicht beanspruchen und Transaktionen würden fehlschlagen. Dies ist beabsichtigt und wird **nicht** als Sicherheitslücke betrachtet.

### Grauzone – zuerst besprechen

* Fehler in MEV-Widerstands-Primitiven, die mit externer Infrastruktur interagieren.
* Token-2022-Integrations-Grenzfälle, bei denen das „korrekte" Verhalten mehrdeutig ist.
* Wirtschaftliche / spieltheoretische Angriffe, die sich nicht sauber auf einen Code-Fehler abbilden lassen.

Im Zweifelsfall sollten Sie eher berichten.

## Schweregrad und Belohnungen

Berichte werden anhand des [Immunefi Vulnerability Severity Classification System V2.3](https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-3/) unter einem **Primacy of Rules**-Modell klassifiziert: Die Bedingungen auf dieser Seite und das Immunefi-Listing sind maßgeblich und haben Vorrang vor der Standardklassifizierung, wenn sie abweichen. Belohnungen werden in USD angegeben und von Raydium in **RAY, SOL oder USDC** bezahlt.

Die Smart-Contract-Belohnungsstufen sind:

| Schweregrad  | Belohnung                                                                                              |
| ------------ | ------------------------------------------------------------------------------------------------------ |
| **Kritisch** | **10 % der direkt betroffenen Mittel**, begrenzt auf **\$505.000**, mit einem **Minimum von \$50.000** |
| **Hoch**     | **\$5.000–\$40.000**                                                                                   |
| **Mittel**   | **Pauschal \$5.000**                                                                                   |

Es gibt keine separate bezahlte Stufe unter Mittel. Das Minimum von \$50.000 für kritische Fälle existiert speziell, um Forscher davon abzuhalten, einen Bericht zurückzuhalten, wenn die direkt betroffenen Mittel gering sind.

### Berechnung der kritischen Belohnung

Für Mainnet-Assets beträgt die kritische Belohnung **10 % der direkt betroffenen Mittel**, bis zu einem Maximum von **\$505.000**. Wenn 10 % der gefährdeten Mittel unter **\$50.000** liegen, wird der Bericht dennoch mit dem **Minimum von \$50.000** bezahlt. Die Obergrenze und die Grundlage von 10 % der gefährdeten Mittel gelten für kritische Smart-Contract-Berichte.

### Auswirkungen im Umfang

Der Bounty verwendet Immunefis standardisierte Auswirkungstaxonomie. Raydium-spezifische Beispiele werden gegeben, um zu veranschaulichen, wie sich jede Auswirkung auf die Programme abbildet.

**Kritisch**

* **Direkter Diebstahl von Benutzermitteln**, ob in Ruhe oder in Bewegung, mit Ausnahme ungeforderter Yields – z. B. Entleerung von LP-Mitteln eines Benutzers über eine gültige Raydium-Anweisung oder unbegrenztes Minting von LP-Token.
* **Permanente Sperrung von Mitteln** – z. B. Beschädigung der Pool-Buchhaltung, sodass Mittel dauerhaft nicht wiederhergestellt werden können.
* **Sicherheitslücken, die Benutzermittel dauerhaft sperren könnten oder Mittel ohne Benutzertransaktionsgenehmigung abziehen oder stehlen** – z. B. Umgehung der Program-Upgrade-Autorität oder ein Steal-All-Protocol-Fees-Bug.

**Hoch**

* **Diebstahl ungeforderter Yields** – z. B. Diebstahl ausstehender Belohnungen von Farms oder CLMM-Positionen.
* **Permanente Sperrung ungeforderter Yields**.
* **Temporäre Sperrung von Mitteln für beliebig lange Zeit** – z. B. Sperrung einer Benutzerposition, sodass sie diese nicht über eine böswillige Tx schließen können.
* **Sicherheitslücken, die Benutzermittel vorübergehend sperren könnten oder absichtlich den Wert von Benutzermitteln verändern** – z. B. Manipulation der Pool-Mathematik oder Umgehung des Slippage-Schutzes.

**Mittel**

* **Smart Contract kann aufgrund fehlender Token-Mittel nicht betrieben werden**.
* **Block Stuffing für Gewinn**.
* **Griefing** (kein Gewinnmotiv für den Angreifer, aber Schaden für Benutzer oder das Protokoll) – z. B. ein griefbarer DoS, bei dem alle Swaps in einem Pool zurückgewiesen werden.
* **Diebstahl von Gas**.
* **Unbegrenzter Gasverbrauch**.

## Kontaktwege

### Primär: Immunefi

Raydiums Bug Bounty ist auf [Immunefi](https://immunefi.com/bug-bounty/raydium/information/) aufgelistet. Berichten Sie über die Immunefi-Plattform:

1. Erstellen Sie ein Immunefi-Konto.
2. Navigieren Sie zur Raydium-Bounty-Seite.
3. Reichen Sie die Erkenntnis mit einem vollständigen PoC ein. **Ein Proof-of-Concept ist für alle Schweregrade erforderlich** – Erklärungen und Aussagen werden nicht akzeptiert, funktionierender Code ist erforderlich. Berichte mit kritischem und hohem Schweregrad sollten auch einen vorgeschlagenen Fix enthalten.
4. Berichte werden schnell bearbeitet – die mediane Lösungszeit des Programms beträgt etwa 1 Tag.

**Auszahlungen werden direkt vom Raydium-Team bearbeitet**, nicht durch Immunefi-Escrow – angegeben in USD und bezahlt in RAY, SOL oder USDC. **Für die Auszahlungsbearbeitung ist keine KYC erforderlich**.

### Alternative: E-Mail-Einreichung

Erkenntnisse im Bounty-Umfang können auch per E-Mail statt (oder zusätzlich zu) Immunefi eingereicht werden:

* `security@raydium.io`
* `security@reactorlabs.io`

Fügen Sie einen vollständigen funktionierenden PoC ein, und für Berichte mit kritischem / hohem Schweregrad einen vorgeschlagenen Fix, genau wie auf Immunefi. Verschlüsseln Sie vertrauliche Details mit dem PGP-Schlüssel des Teams, falls erforderlich – fragen Sie in der E-Mail und das Team wird Schlüssel austauschen. Reichen Sie denselben Befund nicht gleichzeitig über mehrere Kanäle ein (wählen Sie Immunefi *oder* E-Mail).

### Direkt (für kritische, zeitkritische Erkenntnisse)

Wenn die Erkenntnis aktiv ausgenutzt wird oder unmittelbar bevorsteht und Sie nicht auf die Immunefi-Triage warten können, ist der schnellste sekundäre Weg:

* **Direkte E-Mail** an `security@raydium.io` oder `security@reactorlabs.io` – der schnellste Weg, um das Team direkt zu erreichen; kennzeichnen Sie die Betreffzeile als aktive Ausnutzung.
* **Immunefis Notfall-Button** auf der Bounty-Seite – eskaliert innerhalb von Minuten während der Geschäftszeiten.
* **Verschlüsselte Kontaktaufnahme über Immunefi** – Immunefi kann eine Ende-zu-Ende-verschlüsselte Nachricht an das Raydium-Team weitergeben.

Vermeiden Sie öffentliche Kanäle (X / Twitter, Telegram, Discord) für Sicherheitsberichte – die Offenlegung selbst kann Ausnutzung auslösen. Verwenden Sie Immunefi oder die obigen Security-E-Mails sowohl für den Bericht als auch für jede Folgekommunikation.

### Non-Bounty-Berichte (SDK / API / UI)

Für Probleme in Komponenten **außerhalb des Bounty** – das SDK, die REST-APIs, das Frontend `raydium.io` oder andere Off-Chain-Infrastruktur – gibt es keine Auszahlung, aber das Team möchte dennoch davon erfahren. Verwenden Sie:

* **E-Mail**: `security@raydium.io` oder `security@reactorlabs.io` für alles mit Sicherheitsauswirkungen (XSS, CSRF, Auth-Flow-Lecks, Signed-Message-Replay, Wallet-Spoofing, von einer API offengelegte vertrauliche Daten, usw.). Verschlüsseln Sie mit dem PGP-Schlüssel des Teams, wenn der Bug vertraulich ist; fragen Sie in der E-Mail und das Team wird Schlüssel austauschen.
* **GitHub Issues**: für nicht-sicherheitsbezogene funktionale Fehler im SDK, der Dokumentation oder einem anderen von Raydium gepflegten Open-Source-Repo. Öffnen Sie ein Issue im relevanten Repository (z. B. [`raydium-io/raydium-sdk-V2`](https://github.com/raydium-io/raydium-sdk-V2)).
* **Discord** (`discord.gg/raydium`): in Ordnung für Feedback mit geringen Auswirkungen auf UI / UX, das Sicherheit nicht berührt. **Posten Sie nicht** etwas, das einen Exploit ermöglichen könnte, wenn es von einem Fremden gelesen wird.

Was Sie von Non-Bounty-Berichten erhalten:

* **Bestätigung** in der Antwort innerhalb weniger Geschäftstage.
* **Koordination über Repos hinweg**, wenn der Fix sich über das Programm und das SDK erstreckt.
* **Öffentliche Anerkennung** (mit Ihrer Zustimmung) in den relevanten Changelog- oder Release-Notes.
* **Wiederholte Reporter substantieller Erkenntnisse** werden manchmal zu einem Contributor-Programm eingeladen; dieser Weg ist separat vom On-Chain-Bounty und wird nach Ermessen angeboten.

Was Sie nicht erhalten:

* Eine skalierte Auszahlung, unabhängig vom Schweregrad. Der Bounty ist für Programmcode-Erkenntnisse.
* Abdeckung unter der Safe-Harbor-Richtlinie unten – diese Richtlinie bezieht sich speziell auf Bounty-Umfang-Forschung. Für SDK-/API-/UI-Tests folgen Sie normalen Responsible-Disclosure-Konventionen und Standard-Nutzungsbedingungen.

## Spielregeln

### Tun Sie

* **Testen Sie nur gegen einen lokalen Fork** von Mainnet oder öffentlichem Testnet. Alle Proof-of-Concept-Arbeiten müssen auf einem lokalen Fork durchgeführt werden.
* Fügen Sie einen funktionierenden PoC in den Bericht ein (erforderlich für alle Schweregrade).
* Schätzen Sie die wirtschaftliche Auswirkung nach bestem Wissen.
* Schlagen Sie einen Fix vor – erforderlich für Berichte mit kritischem und hohem Schweregrad.

### Tun Sie nicht

* **Testen Sie nicht auf Mainnet oder öffentlich bereitgestelltem Testnet-Code.** Solche Tests sind verboten; verwenden Sie nur lokale Forks.
* **Testen Sie nicht mit Preis-Oracles oder Smart Contracts von Drittanbietern** oder mit Systemen, Anwendungen, Browser-Erweiterungen oder Websites von Drittanbietern.
* Offenbaren Sie die Sicherheitslücke nicht öffentlich, bevor ein Fix bereitgestellt wird (öffentliche Offenlegung eines ungepatchten Bugs in einem embargoed Bounty ist verboten).
* Führen Sie keine automatisierten Tests durch, die erheblichen Traffic generieren, oder Denial-of-Service-Angriffe gegen Projekt-Assets.
* Versuchen Sie nicht, Phishing oder andere Social Engineering gegen Raydium-Teammitglieder oder Benutzer durchzuführen.
* Reichen Sie denselben Befund nicht über mehr als einen Kanal gleichzeitig ein – wählen Sie Immunefi *oder* E-Mail, nicht beides, und niemals über öffentliche DMs.

Diese folgen den [Immunefi-Regeln](https://immunefi.com/rules/); Verstöße machen den Bounty ungültig.

## Antwort-Zeitplan

Die mediane Lösungszeit des Programms beträgt etwa **1 Tag** (gemäß öffentlichem Immunefi-Listing). Die Phasen unten sind indikativ dafür, wie ein Bericht voranschreitet; genaue SLAs werden durch das Immunefi-Listing und den Triage-Prozess geregelt, nicht durch diese Seite:

| Phase                       | Indikative Zeit                          |
| --------------------------- | ---------------------------------------- |
| Anfängliche Triage          | \~1 Tag (Median)                         |
| Schweregrad-Klassifizierung | Einige Geschäftstage                     |
| Fix-Entwicklung             | Hängt von Schweregrad + Komplexität ab   |
| Fix-Bereitstellung          | Unterliegt dem On-Chain-Program-Timelock |

Bei kritischen Erkenntnissen beschleunigt sich der Fix-Track: Das Team beruft die Multisig ein, entwirft einen Fix, reicht ihn zur Überprüfung ein und reiht die timelocked Bereitstellung ein.

## Was nicht öffentlich offenbaren

Bis ein Fix bereitgestellt und das Raydium-Team die Offenlegung mit Ihnen koordiniert hat:

* Twittern Sie nicht über die Erkenntnis (auch nicht vage „Ich habe etwas Großes gefunden").
* Beschreiben Sie die Bug-Klasse nicht gegenüber Dritten.
* Teilen Sie PoC-Code nicht mit jemandem außerhalb des Raydium-Triage-Teams.

Nach Fix-Bereitstellung + koordiniertem Offenlegungsfenster:

* Öffentliche Writeups sind willkommen und werden ermutigt.
* Raydium wird substantielle Writeups cross-promoten.
* Forscher, die der Namensnennug zustimmen, werden in der [Immunefi Whitehat Hall of Fame](https://immunefi.com/hall-of-fame/) anerkannt.

## Safe-Harbor-Richtlinie

Forschung, die im Umfang und den Regeln oben durchgeführt wird, ist ausdrücklich autorisiert. Raydium:

* Wird keine rechtlichen Schritte gegen gutgläubige Forschung einleiten, die dieser Richtlinie folgt.
* Wird Forschungsaktivitäten nicht behindern (z. B. Forscher-Wallets auf die schwarze Liste setzen).
* Wird bei der Verständigung der Erkenntnis zusammenarbeiten.

Forschung *außerhalb* des Umfangs oder der Regeln ist nicht durch Safe Harbor geschützt. Wenn Ihr Forschungsplan grenzwertig ist, fragen Sie über Immunefis „Ask Project"-Kanal, bevor Sie testen.

## Bemerkenswerte frühere Offenlegungen

Aggregierte Statistiken für den **Programmcode-Bounty**, der seit dem 25. April 2023 auf Immunefi läuft (Zahlen gemäß öffentlichem Immunefi-Listing):

* Insgesamt bis heute gezahlte Belohnungen: \~\$3,4M.
* Mediane Lösungszeit: \~1 Tag.

Die Immunefi Whitehat Hall of Fame listet Forscher auf, die der Namensnennug zustimmten. Non-Bounty-Berichte (SDK / API / UI) werden separat verfolgt und in den Release-Notes des relevanten Repositorys anerkannt, anstatt auf Immunefi.

## Verwandte Programme

* **Solana Foundation Bug Bounty** – deckt Solana-Validator-Client-Fehler ab (sealevel, consensus). Berichten Sie dort für Solana-Ebene-Probleme. [solana.com/security](https://solana.com/security).
* **Squads Protocol Bug Bounty** – deckt die Multisig selbst ab. [squads.so/security](https://squads.so/security).
* **Immunefi** – deckt viele DeFi-Protokolle einschließlich Raydium ab. [immunefi.com](https://immunefi.com).

Ein Bug, der sich über Ebenen erstreckt (z. B. ein Solana-Validator-Bug, der sich auf Raydium manifestiert), sollte an alle anwendbaren Programme gemeldet werden.

## Verweise

* [`security/audits`](/de/security/audits) – frühere Audit-Historie.
* [`security/admin-and-multisig`](/de/security/admin-and-multisig) – Autoritätsstruktur.
* [`security/attack-vectors`](/de/security/attack-vectors) – bekannte Angriffsklassen.

Quellen:

* [Immunefi Raydium Bounty-Seite](https://immunefi.com/bug-bounty/raydium/information/) – kanonischer Umfang, Auszahlungsbedingungen und Kontaktweg.
