Documentation Index
Fetch the complete documentation index at: https://docs.raydium.io/llms.txt
Use this file to discover all available pages before exploring further.
이 페이지는 AI 자동 번역입니다. 모든 내용은 영문판을 기준으로 합니다.영문판 보기 →
레이디움은 온체인 프로그램 코드만 대상으로 하는 활동적인 버그 바운티 프로그램을 운영합니다. 이는
reference/program-addresses에 나열된 프로그램 ID의 솔라나 스마트 컨트랙트를 포함합니다. 지급액은 심각도와 경제적 영향에 따라 결정되며, 최고 단계 크리티컬 티어에서 최대 $500,000에 달합니다.SDK, REST API, 그리고 프론트엔드(raydium.io)는 바운티 대상이 아닙니다. 이 부분의 이슈는 보상되지 않지만, 보고는 여전히 환영합니다. 아래 논바운티 보고 (SDK / API / UI) 섹션에서 연락 경로를 확인하세요.이 페이지는 바운티가 무엇을 포함하는지, 어떻게 보고하는지, 그리고 응답 프로세스에서 무엇을 기대할 수 있는지에 대한 공식 자료입니다.범위
바운티 대상 (보상)
바운티는 배포된 온체인 프로그램 코드에만 적용됩니다:- 배포된 프로그램
reference/program-addresses의 프로그램 ID:- AMM v4 (
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM (
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM (
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM (
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab (
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn (
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4 (
- 스마트 컨트랙트 CPI 조합성 버그 — 컴포징 프로그램이 레이디움 프로그램을 올바르게 사용하고 있음에도 불구하고 레이디움 프로그램 자체가 오작동하는 경우.
바운티 대상이 아님 (보고 환영 — 아래 참고)
- Raydium SDK v2 (
@raydium-io/raydium-sdk-v2) on npm. - REST API (API Reference 탭에 나열된 모든 호스트 —
api-v3.raydium.io,transaction-v1.raydium.io,launch-*-v1.raydium.io등). - 프론트엔드 (
raydium.io) — XSS, CSRF, 인증 흐름 버그, 지갑 스푸핑, 손상된 UI 상태 포함. - 오프체인 인덱서, 이미지 / IPFS 게이트웨이, 그리고 UI에 데이터를 제공하는 기타 인프라.
범위 밖 (대상이 아님)
- 레이디움과 상호작용하는 써드파티 프로그램 (해당 팀에 보고).
- 레이디움을 통해 라우팅하는 써드파티 애그리게이터 (예: Jupiter).
- 레이디움에서 유지보수하지 않는 오프체인 도구 (Python 커뮤니티 SDK, 써드파티 봇 등).
- 레이디움 팀원을 대상으로 한 소셜 엔지니어링 공격.
- 검증자 측 담합이나 다수 스테이크 공격이 필요한 모든 발견 사항 (이는 솔라나 계층이며, DeFi 바운티 대상이 아님).
- 공개 RPC 엔드포인트에 대한 스팸 DoS.
- 작동 가능한 개념 증명 없는 자동화된 스캔 도구 출력.
회색 지대 — 먼저 논의하세요
- 외부 인프라와 상호작용하는 MEV 저항 프리미티브의 버그.
- “올바른” 동작이 모호한 Token-2022 통합 엣지 케이스.
- 코드 버그로 깔끔하게 매핑되지 않는 경제적 / 게임 이론적 공격.
심각도 기준
지급액은 심각도와 경제적 영향의 조합을 기반으로 합니다. 티어별 예시:크리티컬 — $100,000–$500,000
- 유효한 레이디움 명령어를 통해 모든 사용자의 LP 펀드 드레인.
- LP 토큰의 무제한 발행.
- 프로그램 업그레이드 권한 우회.
- 모든 프로토콜 수수료 탈취 버그.
- 풀의 회계를 영구적으로 잘못 만들어 향후 LP를 손상시킴.
높음 — $25,000–$100,000
- 팜 또는 CLMM 포지션에서 보류 중인 보상 탈취.
- 악의적인 트랜잭션을 통해 사용자의 포지션 동결 (닫을 수 없음).
- 적당한 자본으로 수익성 있는 추출이 가능하도록 풀 수학 조작.
- 슬리피지 보호 우회.
중간 — $5,000–$25,000
- 특정 풀의 그리프 가능한 DoS (모든 스왑이 되돌려짐).
- 많은 스왑에 걸쳐 누적되어 공격자에게 체계적으로 유리한 반올림 오류.
- 일부 사용자에게 이익을 주고 다른 사용자에게는 손해를 주는 수수료 오류 계산.
- 수동 관리자 개입이 필요한 CLMM 틱 배열 손상.
낮음 — $500–$5,000
- 정보 공개 버그 (비공개 상태 노출).
- 진단을 더 어렵게 만드는 오류 처리 결함.
- 깔끔하게 되돌려지지만 우아하게 처리했어야 하는 엣지 케이스.
- 혼동을 야기하는 오류 메시지의 오타.
정보성 — 보상 없음 (인정 포함)
- 코드 품질 제안.
- 문서 개선.
- 보안 함의가 없는 가스 최적화.
경제적 영향 배수
티어 해당 버그의 경우, 지급액은 다음에 의해 추가로 가중됩니다:- 직접 손실 가능성 — 실제로 추출할 수 있는 TVL은 얼마나 됩니까?
- 악용 가능성 — 간단하게 호출할 수 있습니까, 아니면 특정 전제조건이 필요합니까?
- 재현성 — 익스플로잇이 매번 작동합니까, 아니면 드문 상황에서만 작동합니까?
연락 경로
주요: Immunefi
레이디움의 버그 바운티는 Immunefi에 등재되어 있습니다. Immunefi 플랫폼을 통해 보고하세요:- Immunefi 계정을 만듭니다.
- 레이디움 바운티 페이지로 이동합니다.
- 완전한 PoC와 함께 발견 사항을 제출합니다.
- 심사는 일반적으로 24시간 이내입니다.
직접 (크리티컬하고 시간에 민감한 발견의 경우)
발견 사항이 적극적으로 악용되고 있거나 임박했으며 Immunefi 심사를 기다릴 수 없는 경우, 가장 빠른 보조 경로는:- Immunefi 바운티 페이지의 긴급 버튼 — 업무 시간 중 몇 분 내에 에스컬레이션됩니다.
- Immunefi를 통한 암호화된 연락 — Immunefi는 종단 간 암호화된 메시지를 레이디움 팀에 전달할 수 있습니다.
논바운티 보고 (SDK / API / UI)
바운티 범위 밖인 구성 요소의 이슈 — SDK, REST API,raydium.io 프론트엔드 또는 오프체인 인프라 — 지급은 없지만 팀은 여전히 들을 준비가 되어 있습니다. 다음을 사용하세요:
- 이메일:
security@raydium.io보안 함의가 있는 모든 것 (XSS, CSRF, 인증 흐름 누출, 서명된 메시지 재생, 지갑 스푸핑, API에 의해 노출되는 민감한 데이터 등). 버그가 민감한 경우 팀의 PGP 키로 암호화하세요. 이메일에서 요청하면 팀이 키를 교환할 것입니다. - GitHub 이슈: SDK, 문서 또는 레이디움에서 유지보수하는 오픈 소스 레포의 비보안 기능 버그의 경우. 관련 리포지토리에서 이슈를 열어주세요 (예:
raydium-io/raydium-sdk-V2). - Discord (
discord.gg/raydium): 보안에 영향을 주지 않는 낮은 영향 UI / UX 피드백에 적합합니다. 어떤 것도 게시하지 마세요 낯선 사람이 읽으면 악용을 가능하게 할 수 있는 것.
- 몇 영업일 내 응답으로 인정됨.
- 교차 리포지토리 조정 (수정이 프로그램과 SDK에 걸쳐 있으면).
- 관련 변경 로그 또는 릴리스 노트에서 공개 크레딧 (동의 시).
- 실질적인 발견을 반복해서 보고한 사람들은 때때로 기여자 프로그램에 초대됩니다. 그 경로는 온체인 바운티와 별개이며 재량에 따라 제공됩니다.
- 심각도에 관계없이 확대된 지급. 바운티는 프로그램 코드 발견을 위한 것입니다.
- 아래 안전 항구 정책에 따른 보호 — 그 정책은 특히 바운티 범위 연구를 나타냅니다. SDK / API / UI 테스트의 경우 일반적인 책임감 있는 공개 관례와 표준 서비스 약관을 따르세요.
행동 규칙
해야 할 것
- 개념 증명을 위해 메인넷에서 자신의 자금을 사용하세요 (소액).
- 가능하면 devnet 또는 포크된 메인넷 검증자에 대해 개발하세요.
- 보고에 작동하는 PoC를 포함하세요.
- 최선을 다해 경제적 영향을 추정하세요.
- 마음에 드는 수정 사항을 제안하세요.
하지 말아야 할 것
- 수정이 배포되기 전에 취약점을 공개적으로 공개하세요.
- 버그를 시연하는 데 필요한 것보다 더 많은 자금을 추출하려고 시도하세요.
- 다른 사용자의 자금에 대한 공격을 수행하세요.
- 여러 플랫폼에 동일한 발견을 제출하세요 (Immunefi, Twitter DM, 이메일).
- 레이디움 팀원을 대상으로 소셜 엔지니어링을 시도하세요.
raydium.io인프라에 대한 인증 또는 DoS를 테스트하세요.
응답 일정
| 단계 | 목표 시간 |
|---|---|
| 초기 심사 | ≤ 24시간 |
| 심각도 분류 | ≤ 3영업일 |
| 수정 개발 | 1–30일 (심각도 + 복잡성에 따라) |
| 수정 배포 | 온체인 프로그램의 경우 24시간 타임록 적용 |
| 지급 | 수정 배포 후 14일 |
공개적으로 공개하지 말아야 할 것
수정이 배포되고 레이디움 팀이 당신과 함께 공개를 조율할 때까지:- 발견 사항에 대해 트윗하지 마세요 (모호한 “뭔가 큰 걸 발견했어도”).
- 버그 클래스를 제3자에게 설명하지 마세요.
- PoC 코드를 레이디움의 심사 팀 외부의 누구와도 공유하지 마세요.
- 공개 글쓰기는 환영받고 권장됩니다.
- 레이디움은 실질적인 글쓰기를 교차 홍보합니다.
- 이름을 밝히기로 동의한 연구원은 Immunefi Raydium 리더보드에 표시됩니다.
안전 항구 정책
위의 범위와 규칙 내에서 수행된 연구는 명시적으로 승인됩니다. 레이디움:- 이 정책을 따르는 선의의 연구에 대해 법적 조치를 취하지 않을 것입니다.
- 연구 활동을 방해하지 않을 것입니다 (예: 연구원 지갑 블랙리스트).
- 발견 사항을 이해하는 데 협력할 것입니다.
주목할 만한 과거 공개
프로그램 시작 이후(2021) 프로그램 코드 바운티에 대한 집계된 통계:- 모든 심각도 티어에 걸쳐 200개 이상의 범위 내 보고 제출.
- 총 약 $2M에 달하는 18개의 크리티컬 심각도 발견 지급.
- 60개 이상의 높음 심각도 발견 지급.
- 중앙값 응답 시간 (초기 심사): 8시간.
- 조율된 프로세스를 우회한 공개 공개 0건.
관련 프로그램
- Solana Foundation Bug Bounty — 솔라나 검증자 클라이언트 버그 (sealevel, consensus)를 다룹니다. 솔라나 계층 이슈의 경우 여기에 보고하세요. solana.com/security.
- Squads Protocol Bug Bounty — 멀티시그 자체를 다룹니다. squads.so/security.
- Immunefi — 레이디움을 포함한 많은 DeFi 프로토콜을 다룹니다. immunefi.com.
포인터
security/audits— 이전 감사 이력.security/admin-and-multisig— 권한 구조.security/attack-vectors— 알려진 공격 클래스.
- Immunefi Raydium 바운티 페이지 — 정규 범위, 지급 약관, 그리고 연락 경로.