このページは AI による自動翻訳です。すべての内容は英語版を正とします。英語版を表示 →
Raydium は、オンチェーン プログラム コードのみを対象とするアクティブなバグ報奨金プログラムを運営しています。対象は、
reference/program-addresses に記載されているプログラム ID の Solana スマートコントラクトです。このプログラムは 2023 年 4 月 25 日から Immunefi で稼働しています。報奨金は重大度と経済的影響に応じてスケーリングされ、クリティカル レベルの最上位で最大 $505,000 に達します。SDK、REST API、およびフロントエンド(raydium.io)は報奨金の対象ではありません。 これらの問題は支払い対象外ですが、報告は依然として歓迎されます。連絡先については、以下の非報奨金報告(SDK / API / UI)を参照してください。このページは、報奨金の対象範囲、報告方法、および対応プロセスの期待値に関する信頼できる情報源です。対象範囲
報奨金対象(支払い対象)
報奨金は、デプロイされたオンチェーン プログラム コードのみに適用されます:- デプロイされたプログラム(
reference/program-addressesのプログラム ID):- AMM v4(
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM(
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM(
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM(
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab(
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn(
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4(
- スマートコントラクト CPI 相互運用性バグ:コンポーザー プログラムが Raydium プログラムを正しく使用しているにもかかわらず、Raydium プログラム自体が誤動作する場合。
報奨金対象外(報告は歓迎 — 以下を参照)
- Raydium SDK v2(npm の
@raydium-io/raydium-sdk-v2)。 - REST API(API リファレンスタブに記載されているすべてのホスト —
api-v3.raydium.io、transaction-v1.raydium.io、launch-*-v1.raydium.ioなど)。 - フロントエンド(
raydium.io)— XSS、CSRF、認証フロー バグ、ウォレット スプーフィング、UI 状態の破損を含む。 - オフチェーン インデクサー、画像 / IPFS ゲートウェイ、および UI にデータを提供するその他のインフラストラクチャ。
対象外(まったく適格ではない)
- Raydium と相互運用するサードパーティ プログラム(それらのチームに報告してください)。
- Raydium を経由するサードパーティ アグリゲーター(例:Jupiter)。
- Raydium によって保守されていないオフチェーン ツール(Python のコミュニティ SDK、サードパーティ ボット など)。
- Raydium チーム メンバーに対するソーシャル エンジニアリング攻撃。
- バリデーター側の共謀またはマジョリティ ステーク攻撃を必要とする発見(これは Solana レイヤーであり、DeFi 報奨金の対象ではありません)。
- パブリック RPC エンドポイントへのスパムによる DoS。
- 動作する概念実証なしの自動スキャン ツール出力。
- AMM v4 / OpenBook 依存関係 — OpenBook 依存関係に関連するバグは対象外です。AMM v4 はステータス 6 に設定されているため、流動性は OpenBook マーケットと共有されなくなります。
- 以前のセキュリティ レビューで既にフラグが立てられた発見は適格ではありません:CLMM の Ottersec レビュー、および Hybrid AMM プログラムの Kudelski、Ottersec、MadShield レビュー。既に開示された問題の再報告は支払い対象外です。
- CLMM イールド クレーム失敗(仕様による) — CLMM は取引手数料とファーミング イールド トークンを LP に発行します。攻撃者がボルトまたはフィー トークンをドレインした場合、ユーザーはイールドをクレームできず、トランザクションは失敗します。これは仕様によるものであり、脆弱性とは見なされません。
グレーゾーン — 事前に相談してください
- 外部インフラストラクチャと相互作用する MEV 耐性プリミティブのバグ。
- 「正しい」動作が曖昧な Token-2022 統合エッジ ケース。
- コード バグにきれいにマップされない経済的 / ゲーム理論的攻撃。
重大度と報奨金
報告は Immunefi 脆弱性重大度分類システム V2.3 を使用して分類されます。ルール優先モデルの下で、このページと Immunefi リストの条件が支配し、異なる場合はデフォルト分類に優先します。報奨金は USD で表示され、Raydium チームによって RAY、SOL、または USDC で支払われます。 スマートコントラクト報奨金レベルは以下の通りです:| 重大度 | 報奨金 |
|---|---|
| クリティカル | 直接影響を受けるファンドの 10%、上限 $505,000、$50,000 最小値 |
| 高 | $5,000–$40,000 |
| 中 | 定額 $5,000 |
クリティカル報奨金計算
メインネット資産の場合、クリティカル報奨金は、直接影響を受けるファンドの 10% で、最大 $505,000 です。ファンドのリスクの 10% が $50,000 を下回る場合、報告は依然として $50,000 最小値を支払います。上限と 10% ファンド リスク ベースはクリティカル スマートコントラクト報告に適用されます。対象内の影響
報奨金は Immunefi の標準化された影響分類法を使用します。Raydium 固有の例は、各影響がプログラムにどのようにマップされるかを示すために提供されます。 クリティカル- ユーザー ファンドの直接的な盗難(保有中または移動中)、未請求イールドを除く — 例えば、有効な Raydium 命令を介してユーザーの LP ファンドをドレインする、または LP トークンの無制限ミント。
- ファンドの永続的な凍結 — 例えば、プール会計を破損してファンドが永久に回復不可能になる。
- ユーザー ファンドを永続的に凍結する可能性のある脆弱性、またはユーザー トランザクション承認なしにファンドをドレインまたは盗む脆弱性 — 例えば、プログラム アップグレード権限をバイパスする、またはすべてのプロトコル手数料を盗むバグ。
- 未請求イールドの盗難 — 例えば、ファームまたは CLMM ポジションから保留中の報酬を盗む。
- 未請求イールドの永続的な凍結。
- 任意の期間のファンドの一時的な凍結 — 例えば、ユーザーのポジションを凍結して、悪意のあるトランザクションを介して閉じることができないようにする。
- ユーザー ファンドを一時的に凍結する可能性のある脆弱性、またはユーザー ファンドの価値を意図的に変更する脆弱性 — 例えば、プール数学を操作するか、スリッページ保護をバイパスする。
- トークン ファンドの不足により、スマートコントラクトが動作できない。
- 利益のためのブロック スタッフィング。
- グリーフィング(攻撃者の利益動機なし、ただしユーザーまたはプロトコルへの損害) — 例えば、プール上のすべてのスワップが復帰する悪用可能な DoS。
- ガスの盗難。
- 無制限のガス消費。
連絡先
プライマリ:Immunefi
Raydium のバグ報奨金は Immunefi に記載されています。Immunefi プラットフォームを通じて報告してください:- Immunefi アカウントを作成します。
- Raydium 報奨金ページに移動します。
- 完全な PoC を含む発見を報告します。すべての重大度に対して概念実証が必要です — 説明と声明は受け入れられず、動作するコードが必要です。クリティカルおよび高報告には、提案された修正も含める必要があります。
- 報告は迅速に処理されます — プログラムの中央値解決時間は約 1 日です。
代替:メール送信
報奨金対象の発見は、Immunefi の代わりに(または加えて)メールで送信することもできます:security@raydium.iosecurity@reactorlabs.io
ダイレクト(クリティカルで時間に敏感な発見の場合)
発見が積極的に悪用されているか、差し迫っており、Immunefi トリアージを待つことができない場合、最速のセカンダリ パスは:- 直接メールを
security@raydium.ioまたはsecurity@reactorlabs.ioに送信 — チームに直接到達する最速のパス。件名行をアクティブな悪用としてフラグを立ててください。 - Immunefi の緊急ボタン(報奨金ページ) — 営業時間中に数分以内にエスカレートします。
- Immunefi を通じた暗号化された連絡 — Immunefi は Raydium チームへのエンドツーエンド暗号化メッセージをリレーできます。
非報奨金報告(SDK / API / UI)
報奨金の外側のコンポーネント(SDK、REST API、raydium.io フロントエンド、またはオフチェーン インフラストラクチャ)の問題については、支払いはありませんが、チームはそれでも聞きたいと思っています。以下を使用してください:
- メール:セキュリティ上の影響がある場合は
security@raydium.ioまたはsecurity@reactorlabs.io(XSS、CSRF、認証フロー リーク、署名付きメッセージ リプレイ、ウォレット スプーフィング、API によって公開される機密データなど)。バグが機密の場合は、チームの PGP キーで暗号化してください。メールで尋ねると、チームがキーを交換します。 - GitHub Issues:SDK、ドキュメント、または Raydium が保守するオープンソース リポジトリの非セキュリティ機能バグの場合。関連するリポジトリで Issue を開いてください(例:
raydium-io/raydium-sdk-V2)。 - Discord(
discord.gg/raydium):セキュリティに触れない低影響の UI / UX フィードバックに適しています。誰かが読んだ場合に悪用を可能にする可能性のあるものを投稿しないでください。
- 確認応答(数営業日以内の応答)。
- クロスリポ調整(修正がプログラムと SDK にまたがる場合)。
- 公開クレジット(同意がある場合)関連するチェンジログまたはリリース ノートで。
- 実質的な発見の繰り返し報告者は、時々コントリビューター プログラムに招待されます。そのパスはオンチェーン報奨金とは別であり、裁量的に提供されます。
- 重大度に関係なく、スケーリングされた支払い。報奨金はプログラム コード発見用です。
- 以下のセーフ ハーバー ポリシーの対象 — そのポリシーは特に報奨金対象の研究を指します。SDK / API / UI テストの場合は、通常の責任ある開示慣行と標準的なサービス利用規約に従ってください。
行動規則
すべきこと
- ローカル フォークに対してのみテストしてください(メインネットまたはパブリック テストネット)。すべての概念実証作業はローカル フォークで実行する必要があります。
- 報告に動作する PoC を含めてください(すべての重大度に必須)。
- 経済的影響を最善の知識で推定してください。
- 修正を提案してください — クリティカルおよび高報告に必須。
してはいけないこと
- メインネットまたはパブリック テストネット デプロイ コードでテストしないでください。 そのようなテストは禁止されています。ローカル フォークのみを使用してください。
- 価格設定オラクルまたはサードパーティ スマートコントラクト、またはサードパーティ システム、アプリケーション、ブラウザ拡張機能、またはウェブサイトでテストしないでください。
- 修正がデプロイされる前に脆弱性を公開開示しないでください(エンバーゴ付き報奨金の未パッチ バグの公開開示は禁止されています)。
- 大量のトラフィックを生成する自動テストを実行したり、プロジェクト資産に対する DoS 攻撃を実行したりしないでください。
- Raydium チーム メンバーまたはユーザーに対するフィッシングまたはその他のソーシャル エンジニアリングを試みないでください。
- 同じ発見を複数のチャネルを通じて同時に送信しないでください — Immunefi またはメールを選択し、両方ではなく、公開 DM を通じて決してしないでください。
対応タイムライン
プログラムの中央値解決時間は約 1 日です(公開 Immunefi リストに従う)。以下のフェーズは、報告がどのように進行するかを示しています。正確な SLA は Immunefi リストとトリアージ プロセスによって管理され、このページではありません:| フェーズ | 指標的な時間 |
|---|---|
| 初期トリアージ | 約 1 日(中央値) |
| 重大度分類 | 数営業日 |
| 修正開発 | 重大度 + 複雑さに依存 |
| 修正デプロイ | オンチェーン プログラム タイムロックの対象 |
公開開示しないもの
修正がデプロイされ、Raydium チームが開示を調整するまで:- 発見についてツイートしないでください(「何か大きなものを見つけた」というような曖昧なものでも)。
- バグ クラスを第三者に説明しないでください。
- PoC コードを Raydium のトリアージ チーム以外の誰かと共有しないでください。
- 公開ライトアップは歓迎され、推奨されます。
- Raydium は実質的なライトアップをクロスプロモートします。
- 名前を付けることに同意した研究者は、Immunefi Whitehat Hall of Fame でクレジットされます。
セーフ ハーバー ポリシー
上記の範囲とルール内で実施された研究は、明示的に認可されています。Raydium は:- このポリシーに従う誠実な研究に対して法的措置を追求しません。
- 研究活動に干渉しません(例えば、研究者ウォレットをブラックリストに登録)。
- 発見の理解に協力します。
注目すべき過去の開示
プログラム コード報奨金の集計統計(2023 年 4 月 25 日から Immunefi で稼働、公開 Immunefi リストに従う数字):- 現在までの総報奨金:約 $3.4M。
- 中央値解決時間:約 1 日。
関連プログラム
- Solana Foundation Bug Bounty — Solana バリデーター クライアント バグ(sealevel、consensus)をカバーします。Solana レイヤーの問題についてはそこに報告してください。solana.com/security。
- Squads Protocol Bug Bounty — マルチシグ自体をカバーします。squads.so/security。
- Immunefi — Raydium を含む多くの DeFi プロトコルをカバーします。immunefi.com。
ポインター
security/audits— 以前の監査履歴。security/admin-and-multisig— 権限構造。security/attack-vectors— 既知の攻撃クラス。
- Immunefi Raydium 報奨金ページ — 正規の範囲、支払い条件、および連絡先。

