Documentation Index
Fetch the complete documentation index at: https://docs.raydium.io/llms.txt
Use this file to discover all available pages before exploring further.
このページは AI による自動翻訳です。すべての内容は英語版を正とします。英語版を表示 →
Raydium は活発なバグ報奨金プログラムを運営しており、オンチェーンプログラムコードのみを対象としています。つまり、
reference/program-addresses に記載されたプログラム ID の Solana スマートコントラクトです。支払額は重大度と経済的影響に応じてスケールし、最高レベルのクリティカル段階では最大 $500,000 に達します。**SDK、REST API、フロントエンド(raydium.io)は報奨金の対象ではありません。**これらの問題は支払いの対象にはなりませんが、報告は依然として歓迎されます。連絡先については下の 非報奨金報告(SDK / API / UI) をご覧ください。このページは、報奨金の対象範囲、報告方法、応答プロセスで期待できることについての真実の源です。スコープ
報奨金スコープ内(支払い対象)
報奨金はデプロイされたオンチェーンプログラムコードのみに適用されます:- デプロイされたプログラム(
reference/program-addressesのプログラム ID):- AMM v4(
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM(
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM(
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM(
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab(
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn(
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4(
- スマートコントラクト CPI 相互運用性バグ:コンポージングプログラムが Raydium プログラムを正しく使用した場合に、Raydium プログラム自体に不具合が生じるバグ。
報奨金スコープ外(報告は歓迎 — 下記参照)
- Raydium SDK v2(npm の
@raydium-io/raydium-sdk-v2)。 - REST API(API リファレンスタブに記載されているすべてのホスト —
api-v3.raydium.io、transaction-v1.raydium.io、launch-*-v1.raydium.ioなど)。 - フロントエンド(
raydium.io)— XSS、CSRF、認証フロー不具合、ウォレット詐称、UI 状態の破損を含む。 - オフチェーンインデクサー、画像 / IPFS ゲートウェイ、その他の UI にデータを提供するインフラストラクチャ。
スコープ外(対象外)
- Raydium とコンポーズする第三者プログラム(各チームに報告してください)。
- Raydium を通じてルーティングする第三者アグリゲーター(例えば Jupiter)。
- Raydium が管理していないオフチェーンツーリング(Python コミュニティ SDK、第三者ボット など)。
- Raydium チームメンバーへの社会工学的攻撃。
- バリデーター側の共謀またはマジョリティステーク攻撃を必要とするいかなる発見(これは Solana レイヤーであり、DeFi 報奨金の対象ではありません)。
- パブリック RPC エンドポイントへのスパムによる DoS。
- 動作する概念実証なき自動スキャンツール出力。
グレーゾーン — まず相談してください
- 外部インフラストラクチャと相互作用する MEV 耐性プリミティブのバグ。
- 「正しい」動作があいまいな Token-2022 統合エッジケース。
- コードバグに明確にマップされていない経済的 / ゲーム理論的攻撃。
重大度ルーブリック
支払額は重大度と経済的影響のブレンドに基づいています。段階ごとの例:クリティカル — $100,000~$500,000
- 有効な Raydium 命令により、ユーザーの LP 資金をドレイン。
- LP トークンの無制限ミント。
- プログラムアップグレード権限をバイパス。
- すべてのプロトコル手数料を盗むバグ。
- プールの会計を永続的に間違った状態にしてしまい、将来の LP を損なう。
ハイ — $25,000~$100,000
- ファームまたは CLMM ポジションから保留中報酬を盗む。
- 悪意のある tx でユーザーのポジションをフリーズ(クローズできない)。
- プール数学を操作して、中程度の資本で利益抽出が可能になる。
- スリッページ保護をバイパス。
ミディアム — $5,000~$25,000
- 特定のプール のグリーフ可能な DoS(すべてのスワップがリバート)。
- 多数のスワップにわたって系統的に攻撃者に有利に働く丸め誤差。
- 一部ユーザーを他のユーザーの損失で利する手数料計算間違い。
- 手動の管理者介入を必要とする CLMM ティックアレイ破損。
ロー — $500~$5,000
- 情報開示バグ(非公開状態を公開)。
- エラーハンドリング不具合が診断を困難にする。
- クリーンにリバートするが、適切に処理されるべきエッジケース。
- 混乱を招くエラーメッセージのタイポ。
情報 — 支払いなし(ただし謝辞あり)
- コード品質の提案。
- ドキュメント改善。
- セキュリティへの影響がないガス最適化。
経済的影響乗数
段階適格バグの場合、支払額はさらに以下で加重されます:- 直接的な損失の可能性 — 実際に抽出可能な TVL はいくら?
- 悪用可能性 — 自明に呼び出し可能か、または特定の前提条件が必要か?
- 再現性 — エクスプロイトは毎回機能するか、または稀な条件下でのみ機能するか?
連絡先
プライマリ:Immunefi
Raydium のバグ報奨金は Immunefi にリストされています。Immunefi プラットフォーム経由で報告してください:- Immunefi アカウントを作成します。
- Raydium 報奨金ページに移動します。
- 完全な PoC を含めて発見を送信します。
- トリアージは通常 24 時間以内です。
直接(クリティカルで時間的に敏感な発見の場合)
発見が積極的に悪用されているか、差し迫っており、Immunefi トリアージを待つことができない場合は、最速の代替経路は:- Immunefi の緊急ボタン(報奨金ページ)— 営業時間中に数分以内にエスカレート。
- Immunefi 経由の暗号化連絡 — Immunefi は Raydium チームへの エンドツーエンド暗号化メッセージをリレーできます。
非報奨金報告(SDK / API / UI)
報奨金の対象外のコンポーネント(SDK、REST API、raydium.io フロントエンド、またはオフチェーンインフラストラクチャ)の問題については、支払いはありませんが、チームは依然としてそれについて聞きたいと思っています。以下を使用してください:
- メール:
security@raydium.ioセキュリティへの影響があるすべてのもの(XSS、CSRF、認証フロー漏洩、署名メッセージリプレイ、ウォレット詐称、API で公開される機密データなど)。バグが機密の場合は、チームの PGP キーで暗号化してください。メールで要求してください。チームがキーを交換します。 - GitHub イシュー:SDK、ドキュメント、または Raydium が管理するオープンソースレポの非セキュリティ機能バグの場合。関連するリポジトリでイシューを開いてください(例:
raydium-io/raydium-sdk-V2)。 - Discord(
discord.gg/raydium):セキュリティに関わらない低影響 UI / UX フィードバックに最適です。投稿しないでください見知らぬ人が読めばエクスプロイトを可能にすることができるもの。
- 謝辞の応答(数営業日以内)。
- クロスレポ調整:修正がプログラムと SDK にまたがる場合。
- 公開クレジット(同意がある場合)関連するチェンジログまたはリリースノート。
- 実質的な発見の繰り返し報告者は、ときどき貢献者プログラムに招待されます。そのパスはオンチェーン報奨金とは別であり、裁量で提供されます。
- 重大度に関係なくスケールされた支払い。報奨金はプログラムコード発見のためです。
- 以下のセーフハーバー方針の対象。その方針は特に報奨金スコープ研究を指します。SDK / API / UI テストの場合は、通常の責任あるディスクロージャー慣行と標準利用規約に従ってください。
行動ルール
してください
- メインネットでの概念実証に独自の資金を使用(少額)。
- 可能な場合は devnet または フォークされたメインネット バリデーターに対して開発します。
- 報告に動作する PoC を含めます。
- ベストエフォートで経済的影響を見積もります。
- 心当たりがあれば修正を提案します。
しないでください
- 修正がデプロイされる前に脆弱性を公開開示する。
- バグを実証するために必要以上に資金を抽出しようとする。
- 他のユーザーの資金に対する攻撃を実施する。
- 複数のプラットフォーム(Immunefi、Twitter DM、メール)で同じ発見を送信する。
- Raydium チームメンバーへの社会工学を試みる。
raydium.ioインフラストラクチャに対する認証または DoS テストを実施する。
応答タイムライン
| フェーズ | 目標時間 |
|---|---|
| 初期トリアージ | ≤ 24 時間 |
| 重大度分類 | ≤ 3 営業日 |
| 修正開発 | 1~30 日(重大度 + 複雑性に依存) |
| 修正デプロイメント | オンチェーンプログラムの 24h タイムロックの対象 |
| 支払い | 修正デプロイメント後 14 日 |
公開で開示しないもの
修正がデプロイされ、Raydium チームがあなたと開示をコーディネートするまで:- 発見についてツイートしない(「何か大きなものを見つけた」という曖昧な内容でも)。
- バグクラスを第三者に説明しない。
- PoC コードを Raydium トリアージチーム以外と共有しない。
- 公開ライトアップは歓迎され、推奨されます。
- Raydium は実質的なライトアップをクロスプロモートします。
- 名前を付けることに同意する研究者は Immunefi Raydium リーダーボードでクレジットされます。
セーフハーバー方針
上記のスコープとルール内で実施された研究は、明示的に許可されています。Raydium は:- このポリシーに従う誠実な研究に対して法的措置を追求しません。
- 研究活動に干渉しません(例:研究者ウォレットをブラックリスト化)。
- 発見の理解をコラボレーションします。
注目すべき過去のディスクロージャー
プログラム開始以来(2021)のプログラムコード報奨金の集計統計:- すべての重大度段階で 200+ のスコープ内報告が送信されました。
- 18 件のクリティカル重大度発見が支払われ、合計約 $2M。
- 60+ ハイ重大度発見が支払われました。
- 中央値応答時間(初期トリアージ):8 時間。
- コーディネートプロセスをバイパスした 0 件の公開ディスクロージャー。
関連プログラム
- Solana Foundation Bug Bounty — Solana バリデータクライアントバグ(sealevel、コンセンサス)をカバー。Solana レイヤーの問題についてはそこに報告してください。solana.com/security。
- Squads Protocol Bug Bounty — マルチシグ自体をカバー。squads.so/security。
- Immunefi — Raydium を含む多くの DeFi プロトコルをカバー。immunefi.com。
ポインター
security/audits— 過去の監査履歴。security/admin-and-multisig— 権限構造。security/attack-vectors— 既知の攻撃クラス。
- Immunefi Raydium 報奨金ページ — 正規スコープ、支払い条件、連絡先。