> ## Documentation Index
> Fetch the complete documentation index at: https://docs.raydium.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Pengungkapan yang bertanggung jawab

> Program bug-bounty Raydium: cakupan (hanya kode program on-chain), tingkat keparahan dan hadiah, jalur kontak (Immunefi atau email keamanan), struktur pembayaran, plus saluran non-bounty untuk melaporkan masalah SDK / API / UI.

<Info>
  **Halaman ini diterjemahkan secara otomatis oleh AI. Versi bahasa Inggris adalah acuan resmi.**

  [Lihat versi bahasa Inggris →](/security/disclosure)
</Info>

<Info>
  Raydium menjalankan program bug-bounty yang aktif **hanya mencakup kode program on-chain** — smart contract Solana di program ID yang tercantum dalam [`reference/program-addresses`](/id/reference/program-addresses). Program telah aktif di Immunefi sejak 25 April 2023. Pembayaran berskala dengan keparahan dan dampak ekonomi, mencapai hingga \$505.000 di tingkat kritis tertinggi.

  **SDK, REST API, dan frontend (raydium.io) bukan bagian dari bounty.** Masalah di sana tidak mendapat pembayaran, tetapi laporan tetap diterima — lihat [Laporan non-bounty (SDK / API / UI)](#laporan-non-bounty-sdk-api-ui) di bawah untuk jalur kontak.

  Halaman ini adalah sumber kebenaran untuk apa yang dicakup bounty, cara melaporkan, dan apa yang diharapkan dari proses respons.
</Info>

## Cakupan

### Dalam cakupan bounty (berbayar)

Bounty berlaku **hanya untuk kode program on-chain yang telah di-deploy**:

* **Program yang di-deploy** di program ID dalam [`reference/program-addresses`](/id/reference/program-addresses):
  * AMM v4 (`675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8`)
  * CPMM (`CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C`)
  * CLMM (`CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK`)
  * Stable AMM (`5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h`)
  * LaunchLab (`LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj`)
  * Farm v3 / v5 / v6
  * LP-Lock / Burn & Earn (`LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE`)
  * AMM Routing
* **Bug komposabilitas CPI smart-contract** di mana penggunaan yang benar dari program Raydium oleh program yang mengkomposisi menyebabkan program Raydium itu sendiri berperilaku salah.

### Tidak dalam cakupan bounty (dipersilakan untuk dilaporkan — lihat di bawah)

* **Raydium SDK v2** (`@raydium-io/raydium-sdk-v2`) di npm.
* **REST API** (setiap host yang tercantum dalam tab [API Reference](/id/api-reference) — `api-v3.raydium.io`, `transaction-v1.raydium.io`, `launch-*-v1.raydium.io`, dll.).
* **Frontend** (`raydium.io`) — termasuk XSS, CSRF, bug alur autentikasi, wallet spoofing, status UI yang rusak.
* **Indexer off-chain, gateway gambar / IPFS, dan infrastruktur lainnya** yang melayani data ke UI.

Ini tidak mendapat pembayaran. Laporan tetap diterima dan membantu — kirimkan melalui [saluran Non-bounty](#laporan-non-bounty-sdk-api-ui) di bawah.

### Luar cakupan (tidak memenuhi syarat sama sekali)

* Program pihak ketiga yang mengkomposisi dengan Raydium (laporkan ke tim mereka).
* Agregator pihak ketiga yang merutekan melalui Raydium (misalnya Jupiter).
* Peralatan off-chain **yang tidak dikelola oleh Raydium** (SDK komunitas dalam Python, bot pihak ketiga, dll.).
* Serangan social-engineering terhadap anggota tim Raydium.
* Temuan apa pun yang memerlukan kolusi sisi validator atau serangan mayoritas-stake (ini adalah lapisan Solana, bukan target bounty DeFi).
* DoS melalui spam endpoint RPC publik.
* Output alat pemindaian otomatis tanpa proof-of-concept yang berfungsi.

**Pengecualian khusus program (per daftar Immunefi):**

* **Dependensi AMM v4 / OpenBook** — bug yang berkaitan dengan dependensi OpenBook tidak dalam cakupan. AMM v4 ditetapkan ke Status 6, jadi likuiditas tidak lagi dibagikan ke pasar OpenBook.
* **Temuan yang sudah ditandai dalam tinjauan keamanan sebelumnya** tidak memenuhi syarat: tinjauan Ottersec dari CLMM, dan tinjauan Kudelski, Ottersec, dan MadShield dari program Hybrid AMM. Melaporkan kembali masalah yang sudah diungkapkan tidak mendapat pembayaran.
* **Kegagalan klaim yield CLMM sesuai desain** — CLMM memancarkan token biaya perdagangan dan hasil pertanian kepada LP. Jika penyerang menguras vault atau token biaya, pengguna tidak akan dapat mengklaim hasil dan transaksi akan gagal. Ini sesuai desain dan **bukan** dianggap sebagai kerentanan.

### Zona abu-abu — diskusikan terlebih dahulu

* Bug dalam primitif resistansi MEV yang berinteraksi dengan infrastruktur eksternal.
* Kasus tepi integrasi Token-2022 di mana perilaku "benar" ambigu.
* Serangan ekonomi / game-theoretic yang tidak memetakan dengan bersih ke bug kode.

Ketika tidak yakin, lebih baik melaporkan.

## Keparahan dan hadiah

Laporan diklasifikasikan menggunakan [Sistem Klasifikasi Keparahan Kerentanan Immunefi V2.3](https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-3/), di bawah model **Primacy of Rules**: ketentuan di halaman ini dan daftar Immunefi mengatur, dan mengambil alih klasifikasi default di mana mereka berbeda. Hadiah dinyatakan dalam USD dan dibayar oleh tim Raydium dalam **RAY, SOL, atau USDC**.

Tingkat hadiah smart-contract adalah:

| Keparahan  | Hadiah                                                                                                |
| ---------- | ----------------------------------------------------------------------------------------------------- |
| **Kritis** | **10% dari dana yang langsung terpengaruh**, dibatasi pada **\$505.000**, dengan **minimum \$50.000** |
| **Tinggi** | **\$5.000–\$40.000**                                                                                  |
| **Sedang** | **Flat \$5.000**                                                                                      |

Tidak ada tingkat berbayar terpisah di bawah Sedang. Minimum kritis \$50.000 ada khusus untuk mencegah peneliti menahan laporan ketika dana yang langsung terpengaruh kecil.

### Perhitungan hadiah kritis

Untuk aset mainnet, hadiah kritis adalah **10% dari dana yang langsung terpengaruh**, hingga maksimum **\$505.000**. Jika 10% dari dana yang berisiko jatuh di bawah **\$50.000**, laporan masih membayar **minimum \$50.000**. Batas dan dasar 10%-dari-dana-yang-berisiko berlaku untuk laporan smart-contract kritis.

### Dampak dalam cakupan

Bounty menggunakan taksonomi dampak standar Immunefi. Contoh khusus Raydium diberikan untuk mengilustrasikan bagaimana setiap dampak memetakan ke program.

**Kritis**

* **Pencurian langsung dana pengguna apa pun**, baik saat istirahat atau dalam perjalanan, selain hasil yang tidak diklaim — misalnya menguras dana LP pengguna melalui instruksi Raydium yang valid, atau pencetakan LP token yang tidak terbatas.
* **Pembekuan permanen dana** — misalnya merusak akuntansi pool sehingga dana menjadi tidak dapat dipulihkan secara permanen.
* **Kerentanan yang dapat membekukan dana pengguna secara permanen, atau yang menguras atau mencuri dana tanpa persetujuan transaksi pengguna** — misalnya melewati otoritas upgrade program, atau bug pencuri-semua-biaya-protokol.

**Tinggi**

* **Pencurian hasil yang tidak diklaim** — misalnya mencuri hadiah yang tertunda dari farm atau posisi CLMM.
* **Pembekuan permanen hasil yang tidak diklaim**.
* **Pembekuan sementara dana untuk jumlah waktu apa pun** — misalnya membekukan posisi pengguna sehingga mereka tidak dapat menutupnya melalui tx berbahaya.
* **Kerentanan yang dapat membekukan dana pengguna secara sementara atau sengaja mengubah nilai dana pengguna** — misalnya memanipulasi matematika pool atau melewati perlindungan slippage.

**Sedang**

* **Smart contract tidak dapat beroperasi karena kurangnya dana token**.
* **Block stuffing untuk keuntungan**.
* **Griefing** (tidak ada motif keuntungan bagi penyerang, tetapi kerusakan bagi pengguna atau protokol) — misalnya DoS yang dapat diganggu di mana semua swap di pool kembali.
* **Pencurian gas**.
* **Konsumsi gas yang tidak terbatas**.

## Jalur kontak

### Utama: Immunefi

Bug bounty Raydium tercantum di [Immunefi](https://immunefi.com/bug-bounty/raydium/information/). Laporkan melalui platform Immunefi:

1. Buat akun Immunefi.
2. Navigasikan ke halaman bounty Raydium.
3. Kirimkan temuan dengan PoC lengkap. **Proof-of-concept diperlukan untuk semua keparahan** — penjelasan dan pernyataan tidak diterima, kode yang berfungsi diperlukan. Laporan Kritis dan Tinggi juga harus menyertakan perbaikan yang disarankan.
4. Laporan ditangani dengan cepat — waktu resolusi median program adalah \~1 hari.

**Pembayaran ditangani oleh tim Raydium secara langsung**, bukan oleh escrow Immunefi — dinyatakan dalam USD dan dibayar dalam RAY, SOL, atau USDC. **Tidak ada KYC yang diperlukan** untuk pemrosesan pembayaran.

### Alternatif: pengiriman email

Temuan dalam cakupan bounty juga dapat dikirimkan melalui email sebagai gantinya (atau sebagai tambahan) Immunefi:

* `security@raydium.io`
* `security@reactorlabs.io`

Sertakan PoC yang berfungsi penuh, dan untuk laporan Kritis / Tinggi perbaikan yang disarankan, sama seperti di Immunefi. Enkripsi detail sensitif dengan kunci PGP tim jika diperlukan — tanyakan dalam email dan tim akan menukar kunci. Jangan kirimkan temuan yang sama melalui beberapa saluran sekaligus (pilih Immunefi *atau* email).

### Langsung (untuk temuan kritis, sensitif waktu)

Jika temuan sedang dieksploitasi secara aktif atau akan segera terjadi dan Anda tidak dapat menunggu triage Immunefi, jalur sekunder tercepat adalah:

* **Email langsung** ke `security@raydium.io` atau `security@reactorlabs.io` — jalur tercepat untuk menjangkau tim secara langsung; tandai baris subjek sebagai eksploitasi aktif.
* **Tombol darurat Immunefi** di halaman bounty — meningkatkan dalam hitungan menit selama jam kerja.
* **Kontak terenkripsi melalui Immunefi** — Immunefi dapat menyampaikan pesan terenkripsi end-to-end ke tim Raydium.

Hindari saluran publik (X / Twitter, Telegram, Discord) untuk laporan keamanan — pengungkapan itu sendiri dapat memicu eksploitasi. Gunakan Immunefi atau email keamanan di atas untuk laporan dan kontak tindak lanjut apa pun.

### Laporan non-bounty (SDK / API / UI)

Untuk masalah dalam komponen **di luar bounty** — SDK, REST API, frontend `raydium.io`, atau infrastruktur off-chain apa pun — tidak ada pembayaran, tetapi tim masih ingin mendengarnya. Gunakan:

* **Email**: `security@raydium.io` atau `security@reactorlabs.io` untuk apa pun dengan implikasi keamanan (XSS, CSRF, kebocoran alur autentikasi, replay pesan yang ditandatangani, wallet spoofing, data sensitif yang diekspos oleh API, dll.). Enkripsi dengan kunci PGP tim jika bug sensitif; tanyakan dalam email dan tim akan menukar kunci.
* **GitHub issues**: untuk bug fungsional non-keamanan dalam SDK, dokumen, atau repo open-source yang dikelola Raydium. Buka issue di repositori yang relevan (misalnya [`raydium-io/raydium-sdk-V2`](https://github.com/raydium-io/raydium-sdk-V2)).
* **Discord** (`discord.gg/raydium`): baik untuk umpan balik UI / UX berdampak rendah yang tidak menyentuh keamanan. **Jangan** posting apa pun yang dapat memungkinkan eksploitasi jika dibaca oleh orang asing.

Apa yang Anda dapatkan dari laporan non-bounty:

* **Pengakuan** dalam respons dalam beberapa hari kerja.
* **Koordinasi lintas-repo** jika perbaikan mencakup program dan SDK.
* **Kredit publik** (dengan persetujuan Anda) dalam changelog atau catatan rilis yang relevan.
* **Pelapor berulang dari temuan substantif** kadang-kadang diundang ke program kontributor; jalur itu terpisah dari bounty on-chain dan ditawarkan atas dasar kebijaksanaan.

Apa yang Anda tidak dapatkan:

* Pembayaran berskala, terlepas dari keparahan. Bounty adalah untuk temuan kode program.
* Perlindungan di bawah kebijakan safe-harbor di bawah — kebijakan itu secara khusus mengacu pada penelitian dalam cakupan bounty. Untuk pengujian SDK / API / UI, ikuti konvensi pengungkapan yang bertanggung jawab secara normal dan ketentuan layanan standar.

## Aturan keterlibatan

### Lakukan

* **Uji hanya terhadap fork lokal** dari mainnet atau testnet publik. Semua pekerjaan proof-of-concept harus dilakukan di fork lokal.
* Sertakan PoC yang berfungsi dalam laporan (diperlukan untuk semua keparahan).
* Perkirakan dampak ekonomi sebaik pengetahuan Anda.
* Usulkan perbaikan — diperlukan untuk laporan Kritis dan Tinggi.

### Jangan

* **Uji di mainnet atau kode yang di-deploy di testnet publik.** Pengujian apa pun seperti itu dilarang; gunakan fork lokal saja.
* **Uji dengan oracle harga atau smart contract pihak ketiga**, atau dengan sistem, aplikasi, ekstensi browser, atau situs web pihak ketiga.
* Secara publik mengungkapkan kerentanan sebelum perbaikan di-deploy (pengungkapan publik dari bug yang tidak diperbaiki dalam bounty yang dibatasi dilarang).
* Jalankan pengujian otomatis yang menghasilkan lalu lintas signifikan, atau serangan denial-of-service apa pun terhadap aset proyek.
* Coba phishing atau social engineering lainnya terhadap anggota tim Raydium atau pengguna.
* Kirimkan temuan yang sama melalui lebih dari satu saluran sekaligus — pilih Immunefi *atau* email, bukan keduanya, dan tidak pernah melalui DM publik.

Ini mengikuti [Aturan Immunefi](https://immunefi.com/rules/); pelanggaran membatalkan bounty.

## Garis waktu respons

Program memiliki **waktu resolusi median sekitar 1 hari** (per daftar Immunefi publik). Fase di bawah menunjukkan bagaimana laporan berkembang; SLA yang tepat diatur oleh daftar Immunefi dan proses triage, bukan oleh halaman ini:

| Fase                   | Waktu indikatif                          |
| ---------------------- | ---------------------------------------- |
| Triage awal            | \~1 hari (median)                        |
| Klasifikasi keparahan  | Beberapa hari kerja                      |
| Pengembangan perbaikan | Tergantung pada keparahan + kompleksitas |
| Penyebaran perbaikan   | Tunduk pada timelock program on-chain    |

Untuk temuan kritis, jalur perbaikan mempercepat: tim mengumpulkan multisig, menyusun perbaikan, mengirimkan untuk ditinjau, dan mengantri deploy yang dikunci waktu.

## Apa yang tidak boleh diungkapkan secara publik

Sampai perbaikan di-deploy dan tim Raydium telah mengoordinasikan pengungkapan dengan Anda:

* Jangan tweet tentang temuan (bahkan vague "Saya menemukan sesuatu yang besar").
* Jangan jelaskan kelas bug kepada pihak ketiga.
* Jangan bagikan kode PoC dengan siapa pun di luar tim triage Raydium.

Setelah penyebaran perbaikan + jendela pengungkapan yang dikoordinasikan:

* Writeup publik diterima dan didorong.
* Raydium akan cross-promote writeup substantif.
* Peneliti yang setuju untuk dinamai dikreditkan di [Immunefi Whitehat Hall of Fame](https://immunefi.com/hall-of-fame/).

## Kebijakan safe-harbor

Penelitian yang dilakukan dalam cakupan dan aturan di atas secara eksplisit diotorisasi. Raydium:

* Tidak akan mengejar tindakan hukum untuk penelitian yang dilakukan dengan itikad baik yang mengikuti kebijakan ini.
* Tidak akan mengganggu aktivitas penelitian (misalnya, daftar hitam dompet peneliti).
* Akan berkolaborasi dalam memahami temuan.

Penelitian *di luar* cakupan atau aturan tidak dilindungi oleh safe harbor. Jika rencana penelitian Anda borderline, tanyakan melalui saluran "Ask Project" Immunefi sebelum pengujian.

## Pengungkapan masa lalu yang terkenal

Statistik agregat untuk **bounty kode program**, yang telah aktif di Immunefi sejak 25 April 2023 (angka per daftar Immunefi publik):

* Total hadiah yang dibayarkan hingga saat ini: \~\$3,4M.
* Waktu resolusi median: \~1 hari.

Immunefi Whitehat Hall of Fame mencantumkan peneliti yang setuju untuk dinamai. Laporan non-bounty (SDK / API / UI) dilacak secara terpisah dan diakui dalam catatan rilis repositori yang relevan daripada di Immunefi.

## Program terkait

* **Solana Foundation Bug Bounty** — mencakup bug klien validator Solana (sealevel, consensus). Laporkan di sana untuk masalah lapisan Solana. [solana.com/security](https://solana.com/security).
* **Squads Protocol Bug Bounty** — mencakup multisig itu sendiri. [squads.so/security](https://squads.so/security).
* **Immunefi** — mencakup banyak protokol DeFi termasuk Raydium. [immunefi.com](https://immunefi.com).

Bug yang mencakup lapisan (misalnya bug validator Solana yang memanifestasikan pada Raydium) harus dilaporkan ke semua program yang berlaku.

## Penunjuk

* [`security/audits`](/id/security/audits) — riwayat audit sebelumnya.
* [`security/admin-and-multisig`](/id/security/admin-and-multisig) — struktur otoritas.
* [`security/attack-vectors`](/id/security/attack-vectors) — kelas serangan yang diketahui.

Sumber:

* [Halaman bounty Raydium Immunefi](https://immunefi.com/bug-bounty/raydium/information/) — cakupan kanonik, ketentuan pembayaran, dan jalur kontak.
