メインコンテンツへスキップ
このページは AI による自動翻訳です。すべての内容は英語版を正とします。英語版を表示 →
Raydium は、オンチェーン プログラム コードのみを対象とするアクティブなバグ報奨金プログラムを運営しています。対象は、reference/program-addresses に記載されているプログラム ID の Solana スマートコントラクトです。このプログラムは 2023 年 4 月 25 日から Immunefi で稼働しています。報奨金は重大度と経済的影響に応じてスケーリングされ、クリティカル レベルの最上位で最大 $505,000 に達します。SDK、REST API、およびフロントエンド(raydium.io)は報奨金の対象ではありません。 これらの問題は支払い対象外ですが、報告は依然として歓迎されます。連絡先については、以下の非報奨金報告(SDK / API / UI)を参照してください。このページは、報奨金の対象範囲、報告方法、および対応プロセスの期待値に関する信頼できる情報源です。

対象範囲

報奨金対象(支払い対象)

報奨金は、デプロイされたオンチェーン プログラム コードのみに適用されます:
  • デプロイされたプログラムreference/program-addresses のプログラム ID):
    • AMM v4(675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8
    • CPMM(CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C
    • CLMM(CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK
    • Stable AMM(5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h
    • LaunchLab(LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn(LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE
    • AMM Routing
  • スマートコントラクト CPI 相互運用性バグ:コンポーザー プログラムが Raydium プログラムを正しく使用しているにもかかわらず、Raydium プログラム自体が誤動作する場合。

報奨金対象外(報告は歓迎 — 以下を参照)

  • Raydium SDK v2(npm の @raydium-io/raydium-sdk-v2)。
  • REST APIAPI リファレンスタブに記載されているすべてのホスト — api-v3.raydium.iotransaction-v1.raydium.iolaunch-*-v1.raydium.io など)。
  • フロントエンドraydium.io)— XSS、CSRF、認証フロー バグ、ウォレット スプーフィング、UI 状態の破損を含む。
  • オフチェーン インデクサー、画像 / IPFS ゲートウェイ、および UI にデータを提供するその他のインフラストラクチャ
これらは支払い対象外です。報告は依然として歓迎され、有用です。以下の非報奨金チャネルを通じて報告してください。

対象外(まったく適格ではない)

  • Raydium と相互運用するサードパーティ プログラム(それらのチームに報告してください)。
  • Raydium を経由するサードパーティ アグリゲーター(例:Jupiter)。
  • Raydium によって保守されていないオフチェーン ツール(Python のコミュニティ SDK、サードパーティ ボット など)。
  • Raydium チーム メンバーに対するソーシャル エンジニアリング攻撃。
  • バリデーター側の共謀またはマジョリティ ステーク攻撃を必要とする発見(これは Solana レイヤーであり、DeFi 報奨金の対象ではありません)。
  • パブリック RPC エンドポイントへのスパムによる DoS。
  • 動作する概念実証なしの自動スキャン ツール出力。
プログラム固有の除外(Immunefi リストに従う):
  • AMM v4 / OpenBook 依存関係 — OpenBook 依存関係に関連するバグは対象外です。AMM v4 はステータス 6 に設定されているため、流動性は OpenBook マーケットと共有されなくなります。
  • 以前のセキュリティ レビューで既にフラグが立てられた発見は適格ではありません:CLMM の Ottersec レビュー、および Hybrid AMM プログラムの Kudelski、Ottersec、MadShield レビュー。既に開示された問題の再報告は支払い対象外です。
  • CLMM イールド クレーム失敗(仕様による) — CLMM は取引手数料とファーミング イールド トークンを LP に発行します。攻撃者がボルトまたはフィー トークンをドレインした場合、ユーザーはイールドをクレームできず、トランザクションは失敗します。これは仕様によるものであり、脆弱性とは見なされません

グレーゾーン — 事前に相談してください

  • 外部インフラストラクチャと相互作用する MEV 耐性プリミティブのバグ。
  • 「正しい」動作が曖昧な Token-2022 統合エッジ ケース。
  • コード バグにきれいにマップされない経済的 / ゲーム理論的攻撃。
不確実な場合は、報告する側に傾いてください。

重大度と報奨金

報告は Immunefi 脆弱性重大度分類システム V2.3 を使用して分類されます。ルール優先モデルの下で、このページと Immunefi リストの条件が支配し、異なる場合はデフォルト分類に優先します。報奨金は USD で表示され、Raydium チームによって RAY、SOL、または USDC で支払われます。 スマートコントラクト報奨金レベルは以下の通りです:
重大度報奨金
クリティカル直接影響を受けるファンドの 10%、上限 $505,000$50,000 最小値
$5,000–$40,000
定額 $5,000
中以下の別の支払いレベルはありません。$50,000 クリティカル最小値は、直接影響を受けるファンドが少ない場合に研究者が報告を保留することを防ぐために特に存在します。

クリティカル報奨金計算

メインネット資産の場合、クリティカル報奨金は、直接影響を受けるファンドの 10% で、最大 $505,000 です。ファンドのリスクの 10% が $50,000 を下回る場合、報告は依然として $50,000 最小値を支払います。上限と 10% ファンド リスク ベースはクリティカル スマートコントラクト報告に適用されます。

対象内の影響

報奨金は Immunefi の標準化された影響分類法を使用します。Raydium 固有の例は、各影響がプログラムにどのようにマップされるかを示すために提供されます。 クリティカル
  • ユーザー ファンドの直接的な盗難(保有中または移動中)、未請求イールドを除く — 例えば、有効な Raydium 命令を介してユーザーの LP ファンドをドレインする、または LP トークンの無制限ミント。
  • ファンドの永続的な凍結 — 例えば、プール会計を破損してファンドが永久に回復不可能になる。
  • ユーザー ファンドを永続的に凍結する可能性のある脆弱性、またはユーザー トランザクション承認なしにファンドをドレインまたは盗む脆弱性 — 例えば、プログラム アップグレード権限をバイパスする、またはすべてのプロトコル手数料を盗むバグ。
  • 未請求イールドの盗難 — 例えば、ファームまたは CLMM ポジションから保留中の報酬を盗む。
  • 未請求イールドの永続的な凍結
  • 任意の期間のファンドの一時的な凍結 — 例えば、ユーザーのポジションを凍結して、悪意のあるトランザクションを介して閉じることができないようにする。
  • ユーザー ファンドを一時的に凍結する可能性のある脆弱性、またはユーザー ファンドの価値を意図的に変更する脆弱性 — 例えば、プール数学を操作するか、スリッページ保護をバイパスする。
  • トークン ファンドの不足により、スマートコントラクトが動作できない
  • 利益のためのブロック スタッフィング
  • グリーフィング(攻撃者の利益動機なし、ただしユーザーまたはプロトコルへの損害) — 例えば、プール上のすべてのスワップが復帰する悪用可能な DoS。
  • ガスの盗難
  • 無制限のガス消費

連絡先

プライマリ:Immunefi

Raydium のバグ報奨金は Immunefi に記載されています。Immunefi プラットフォームを通じて報告してください:
  1. Immunefi アカウントを作成します。
  2. Raydium 報奨金ページに移動します。
  3. 完全な PoC を含む発見を報告します。すべての重大度に対して概念実証が必要です — 説明と声明は受け入れられず、動作するコードが必要です。クリティカルおよび高報告には、提案された修正も含める必要があります。
  4. 報告は迅速に処理されます — プログラムの中央値解決時間は約 1 日です。
支払いは Immunefi エスクローではなく、Raydium チームによって直接処理されます — USD で表示され、RAY、SOL、または USDC で支払われます。支払い処理に KYC は必要ありません

代替:メール送信

報奨金対象の発見は、Immunefi の代わりに(または加えて)メールで送信することもできます:
  • security@raydium.io
  • security@reactorlabs.io
Immunefi と同様に、完全に動作する PoC、およびクリティカル / 高報告の場合は提案された修正を含めてください。必要に応じて、チームの PGP キーで機密情報を暗号化してください — メールで尋ねると、チームがキーを交換します。同じ発見を複数のチャネルを通じて同時に送信しないでください(Immunefi またはメールを選択してください)。

ダイレクト(クリティカルで時間に敏感な発見の場合)

発見が積極的に悪用されているか、差し迫っており、Immunefi トリアージを待つことができない場合、最速のセカンダリ パスは:
  • 直接メールsecurity@raydium.io または security@reactorlabs.io に送信 — チームに直接到達する最速のパス。件名行をアクティブな悪用としてフラグを立ててください。
  • Immunefi の緊急ボタン(報奨金ページ) — 営業時間中に数分以内にエスカレートします。
  • Immunefi を通じた暗号化された連絡 — Immunefi は Raydium チームへのエンドツーエンド暗号化メッセージをリレーできます。
セキュリティ報告には公開チャネル(X / Twitter、Telegram、Discord)を避けてください — 開示自体が悪用をトリガーする可能性があります。報告とフォローアップ連絡の両方に Immunefi またはセキュリティメール(上記)を使用してください。

非報奨金報告(SDK / API / UI)

報奨金の外側のコンポーネント(SDK、REST API、raydium.io フロントエンド、またはオフチェーン インフラストラクチャ)の問題については、支払いはありませんが、チームはそれでも聞きたいと思っています。以下を使用してください:
  • メール:セキュリティ上の影響がある場合は security@raydium.io または security@reactorlabs.io(XSS、CSRF、認証フロー リーク、署名付きメッセージ リプレイ、ウォレット スプーフィング、API によって公開される機密データなど)。バグが機密の場合は、チームの PGP キーで暗号化してください。メールで尋ねると、チームがキーを交換します。
  • GitHub Issues:SDK、ドキュメント、または Raydium が保守するオープンソース リポジトリの非セキュリティ機能バグの場合。関連するリポジトリで Issue を開いてください(例:raydium-io/raydium-sdk-V2)。
  • Discorddiscord.gg/raydium):セキュリティに触れない低影響の UI / UX フィードバックに適しています。誰かが読んだ場合に悪用を可能にする可能性のあるものを投稿しないでください。
非報奨金報告から得られるもの:
  • 確認応答(数営業日以内の応答)。
  • クロスリポ調整(修正がプログラムと SDK にまたがる場合)。
  • 公開クレジット(同意がある場合)関連するチェンジログまたはリリース ノートで。
  • 実質的な発見の繰り返し報告者は、時々コントリビューター プログラムに招待されます。そのパスはオンチェーン報奨金とは別であり、裁量的に提供されます。
非報奨金報告から得られないもの:
  • 重大度に関係なく、スケーリングされた支払い。報奨金はプログラム コード発見用です。
  • 以下のセーフ ハーバー ポリシーの対象 — そのポリシーは特に報奨金対象の研究を指します。SDK / API / UI テストの場合は、通常の責任ある開示慣行と標準的なサービス利用規約に従ってください。

行動規則

すべきこと

  • ローカル フォークに対してのみテストしてください(メインネットまたはパブリック テストネット)。すべての概念実証作業はローカル フォークで実行する必要があります。
  • 報告に動作する PoC を含めてください(すべての重大度に必須)。
  • 経済的影響を最善の知識で推定してください。
  • 修正を提案してください — クリティカルおよび高報告に必須。

してはいけないこと

  • メインネットまたはパブリック テストネット デプロイ コードでテストしないでください。 そのようなテストは禁止されています。ローカル フォークのみを使用してください。
  • 価格設定オラクルまたはサードパーティ スマートコントラクト、またはサードパーティ システム、アプリケーション、ブラウザ拡張機能、またはウェブサイトでテストしないでください。
  • 修正がデプロイされる前に脆弱性を公開開示しないでください(エンバーゴ付き報奨金の未パッチ バグの公開開示は禁止されています)。
  • 大量のトラフィックを生成する自動テストを実行したり、プロジェクト資産に対する DoS 攻撃を実行したりしないでください。
  • Raydium チーム メンバーまたはユーザーに対するフィッシングまたはその他のソーシャル エンジニアリングを試みないでください。
  • 同じ発見を複数のチャネルを通じて同時に送信しないでください — Immunefi またはメールを選択し、両方ではなく、公開 DM を通じて決してしないでください。
これらは Immunefi ルールに従います。違反は報奨金を無効にします。

対応タイムライン

プログラムの中央値解決時間は約 1 日です(公開 Immunefi リストに従う)。以下のフェーズは、報告がどのように進行するかを示しています。正確な SLA は Immunefi リストとトリアージ プロセスによって管理され、このページではありません:
フェーズ指標的な時間
初期トリアージ約 1 日(中央値)
重大度分類数営業日
修正開発重大度 + 複雑さに依存
修正デプロイオンチェーン プログラム タイムロックの対象
クリティカル発見の場合、修正トラックは加速します:チームはマルチシグを招集し、修正を起草し、レビューのために提出し、タイムロック デプロイをキューに入れます。

公開開示しないもの

修正がデプロイされ、Raydium チームが開示を調整するまで:
  • 発見についてツイートしないでください(「何か大きなものを見つけた」というような曖昧なものでも)。
  • バグ クラスを第三者に説明しないでください。
  • PoC コードを Raydium のトリアージ チーム以外の誰かと共有しないでください。
修正デプロイ + 調整開示ウィンドウ後:
  • 公開ライトアップは歓迎され、推奨されます。
  • Raydium は実質的なライトアップをクロスプロモートします。
  • 名前を付けることに同意した研究者は、Immunefi Whitehat Hall of Fame でクレジットされます。

セーフ ハーバー ポリシー

上記の範囲とルール内で実施された研究は、明示的に認可されています。Raydium は:
  • このポリシーに従う誠実な研究に対して法的措置を追求しません。
  • 研究活動に干渉しません(例えば、研究者ウォレットをブラックリストに登録)。
  • 発見の理解に協力します。
範囲またはルールの研究はセーフ ハーバーで保護されていません。研究計画が境界線上にある場合は、テストする前に Immunefi の「Ask Project」チャネルを通じて尋ねてください。

注目すべき過去の開示

プログラム コード報奨金の集計統計(2023 年 4 月 25 日から Immunefi で稼働、公開 Immunefi リストに従う数字):
  • 現在までの総報奨金:約 $3.4M。
  • 中央値解決時間:約 1 日。
Immunefi Whitehat Hall of Fame は、名前を付けることに同意した研究者をリストしています。非報奨金報告(SDK / API / UI)は別途追跡され、Immunefi ではなく関連するリポジトリのリリース ノートで確認されます。

関連プログラム

  • Solana Foundation Bug Bounty — Solana バリデーター クライアント バグ(sealevel、consensus)をカバーします。Solana レイヤーの問題についてはそこに報告してください。solana.com/security
  • Squads Protocol Bug Bounty — マルチシグ自体をカバーします。squads.so/security
  • Immunefi — Raydium を含む多くの DeFi プロトコルをカバーします。immunefi.com
レイヤーにまたがるバグ(例えば、Raydium に現れる Solana バリデーター バグ)は、すべての適用可能なプログラムに報告する必要があります。

ポインター

ソース: