메인 콘텐츠로 건너뛰기
이 페이지는 AI 자동 번역입니다. 모든 내용은 영문판을 기준으로 합니다.영문판 보기 →
Raydium은 온체인 프로그램 코드만 대상으로 하는 활발한 버그 바운티 프로그램을 운영하고 있습니다. 이는 reference/program-addresses에 나열된 프로그램 ID의 Solana 스마트 컨트랙트를 의미합니다. 이 프로그램은 2023년 4월 25일부터 Immunefi에서 운영 중입니다. 지급액은 심각도와 경제적 영향에 따라 결정되며, 최고 심각도 등급에서는 최대 $505,000에 이릅니다.SDK, REST API, 그리고 프론트엔드(raydium.io)는 바운티 대상이 아닙니다. 이들 영역의 문제는 지급 대상이 아니지만, 여전히 보고를 환영합니다. 연락 경로는 아래의 비바운티 보고(SDK / API / UI) 섹션을 참고하세요.이 페이지는 바운티가 무엇을 대상으로 하는지, 보고 방법, 그리고 응답 프로세스에서 무엇을 기대할 수 있는지에 대한 공식 정보입니다.

범위

바운티 대상(지급 대상)

바운티는 배포된 온체인 프로그램 코드에만 적용됩니다:
  • 배포된 프로그램 - reference/program-addresses의 프로그램 ID:
    • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
    • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
    • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
    • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
    • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
    • Farm v3 / v5 / v6
    • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
    • AMM Routing
  • 스마트 컨트랙트 CPI 상호운용성 버그 - 다른 프로그램이 Raydium 프로그램을 올바르게 사용하는 과정에서 Raydium 프로그램 자체가 오작동하는 경우.

바운티 대상이 아님(보고 환영 - 아래 참고)

  • Raydium SDK v2 (@raydium-io/raydium-sdk-v2) npm 패키지.
  • REST API (API 참고 탭에 나열된 모든 호스트 — api-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io 등).
  • 프론트엔드 (raydium.io) — XSS, CSRF, 인증 흐름 버그, 지갑 스푸핑, 깨진 UI 상태 포함.
  • 오프체인 인덱서, 이미지 / IPFS 게이트웨이, 그리고 UI에 데이터를 제공하는 기타 인프라.
이들은 지급 대상이 아닙니다. 보고는 여전히 환영하며 도움이 됩니다. 아래의 비바운티 채널을 통해 제출하세요.

범위 외(대상이 아님)

  • Raydium과 상호작용하는 제3자 프로그램(해당 팀에 보고).
  • Raydium을 통해 라우팅하는 제3자 애그리게이터(예: Jupiter).
  • Raydium이 유지보수하지 않는 오프체인 도구(Python 커뮤니티 SDK, 제3자 봇 등).
  • Raydium 팀원을 대상으로 한 소셜 엔지니어링 공격.
  • 검증자 측 담합이나 다수 지분 공격이 필요한 발견(이는 Solana 계층 문제이며 DeFi 바운티 대상이 아님).
  • 공개 RPC 엔드포인트 스팸을 통한 DoS.
  • 작동하는 개념 증명 없는 자동화된 스캔 도구 출력.
프로그램별 제외 사항(Immunefi 목록 기준):
  • AMM v4 / OpenBook 의존성 — OpenBook 의존성과 관련된 버그는 범위에 포함되지 않습니다. AMM v4는 상태 6으로 설정되어 있으므로 유동성이 더 이상 OpenBook 시장으로 공유되지 않습니다.
  • 이전 보안 검토에서 이미 지적된 발견 — Ottersec의 CLMM 검토, 그리고 Kudelski, Ottersec, MadShield의 Hybrid AMM 프로그램 검토에서 이미 지적된 문제는 대상이 아닙니다. 이미 공개된 문제를 다시 보고해도 지급되지 않습니다.
  • CLMM 수익 청구 실패(설계상) — CLMM은 거래 수수료와 농업 수익 토큰을 LP에 발행합니다. 공격자가 금고나 수수료 토큰을 소진한 경우, 사용자는 수익을 청구할 수 없고 거래가 실패합니다. 이는 설계상 의도된 것이며 취약점으로 간주되지 않습니다.

회색 지대 — 먼저 논의하세요

  • 외부 인프라와 상호작용하는 MEV 저항 프리미티브의 버그.
  • “올바른” 동작이 모호한 Token-2022 통합 엣지 케이스.
  • 코드 버그로 명확하게 매핑되지 않는 경제적 / 게임 이론적 공격.
불확실할 때는 보고하는 것이 좋습니다.

심각도 및 보상

보고는 Immunefi 취약점 심각도 분류 시스템 V2.3을 사용하여 분류되며, 규칙 우선 모델을 따릅니다. 이 페이지와 Immunefi 목록의 조건이 지배적이며, 차이가 있을 경우 기본 분류를 우선합니다. 보상은 USD로 표시되며 Raydium 팀이 RAY, SOL, 또는 USDC로 지급합니다. 스마트 컨트랙트 보상 등급은 다음과 같습니다:
심각도보상
Critical직접 영향을 받는 자금의 10%, 최대 $505,000, 최소 $50,000
High$5,000–$40,000
Medium정액 $5,000
Medium 이하에는 별도의 지급 등급이 없습니다. $50,000 critical 최소값은 직접 영향을 받는 자금이 적을 때 연구자가 보고를 보류하는 것을 방지하기 위해 특별히 설정되었습니다.

Critical 보상 계산

메인넷 자산의 경우, critical 보상은 **직접 영향을 받는 자금의 10%**이며, 최대 $505,000입니다. 자금 위험의 10%가 $50,000 미만인 경우, 보고는 여전히 $50,000 최소값을 지급받습니다. 상한선과 자금 위험의 10% 기준은 critical 스마트 컨트랙트 보고에 적용됩니다.

범위 내 영향

바운티는 Immunefi의 표준화된 영향 분류법을 사용합니다. Raydium 특정 예시를 통해 각 영향이 프로그램에 어떻게 매핑되는지 설명합니다. Critical
  • 사용자 자금의 직접 도용 - 미청구 수익 제외, 정지 상태 또는 이동 중 — 예: 유효한 Raydium 명령어를 통해 사용자의 LP 자금을 소진하거나, LP 토큰의 무제한 발행.
  • 자금의 영구 동결 — 예: 풀 회계를 손상시켜 자금이 영구적으로 복구 불가능하게 만드는 경우.
  • 사용자 자금을 영구적으로 동결하거나, 사용자 거래 승인 없이 자금을 소진 또는 도용할 수 있는 취약점 — 예: 프로그램 업그레이드 권한 우회, 또는 모든 프로토콜 수수료를 도용하는 버그.
High
  • 미청구 수익 도용 — 예: 농장이나 CLMM 포지션에서 보류 중인 보상 도용.
  • 미청구 수익의 영구 동결.
  • 임의의 시간 동안 자금의 임시 동결 — 예: 사용자가 악의적인 거래를 통해 포지션을 종료할 수 없도록 동결.
  • 사용자 자금을 임시로 동결하거나 의도적으로 사용자 자금의 가치를 변경할 수 있는 취약점 — 예: 풀 수학 조작 또는 슬리피지 보호 우회.
Medium
  • 토큰 자금 부족으로 인한 스마트 컨트랙트 운영 불가.
  • 이익을 위한 블록 스터핑.
  • 그리핑 (공격자의 이익 동기 없음, 하지만 사용자 또는 프로토콜에 피해) — 예: 풀의 모든 스왑이 되돌려지는 그리프 가능한 DoS.
  • 가스 도용.
  • 무제한 가스 소비.

연락 경로

주요: Immunefi

Raydium의 버그 바운티는 Immunefi에 등록되어 있습니다. Immunefi 플랫폼을 통해 보고하세요:
  1. Immunefi 계정을 생성합니다.
  2. Raydium 바운티 페이지로 이동합니다.
  3. 완전한 PoC와 함께 발견을 제출합니다. 모든 심각도에 대해 개념 증명이 필요합니다 — 설명과 진술은 허용되지 않으며, 작동하는 코드가 필요합니다. Critical 및 High 보고는 제안된 수정도 포함해야 합니다.
  4. 보고는 빠르게 처리됩니다 — 프로그램의 중앙값 해결 시간은 약 1일입니다.
지급은 Immunefi 에스크로가 아닌 Raydium 팀이 직접 처리합니다 — USD로 표시되며 RAY, SOL, 또는 USDC로 지급됩니다. 지급 처리에 KYC가 필요하지 않습니다.

대체: 이메일 제출

바운티 범위 발견은 Immunefi 대신 (또는 추가로) 이메일로도 제출할 수 있습니다:
  • security@raydium.io
  • security@reactorlabs.io
Immunefi와 마찬가지로 완전한 작동 PoC를 포함하고, Critical / High 보고의 경우 제안된 수정을 포함하세요. 필요한 경우 팀의 PGP 키로 민감한 세부 정보를 암호화하세요 — 이메일에서 요청하면 팀이 키를 교환합니다. 동일한 발견을 여러 채널을 통해 동시에 제출하지 마세요 (Immunefi 또는 이메일 중 하나를 선택하세요).

직접(critical, 시간에 민감한 발견의 경우)

발견이 적극적으로 악용 중이거나 임박했으며 Immunefi 심사를 기다릴 수 없는 경우, 가장 빠른 보조 경로는:
  • 직접 이메일 security@raydium.io 또는 security@reactorlabs.io — 팀에 직접 연락하는 가장 빠른 경로입니다. 제목 줄에 활성 악용으로 표시하세요.
  • Immunefi의 긴급 버튼 바운티 페이지에서 — 업무 시간 중 몇 분 내에 에스컬레이션됩니다.
  • Immunefi를 통한 암호화된 연락 — Immunefi는 Raydium 팀에 엔드-투-엔드 암호화된 메시지를 전달할 수 있습니다.
보안 보고에는 공개 채널(X / Twitter, Telegram, Discord)을 피하세요 — 공개 자체가 악용을 유발할 수 있습니다. 보고와 후속 연락 모두에 Immunefi 또는 위의 보안 이메일을 사용하세요.

비바운티 보고(SDK / API / UI)

바운티 외부 구성 요소의 문제 — SDK, REST API, raydium.io 프론트엔드, 또는 오프체인 인프라 — 에는 지급이 없지만, 팀은 여전히 이에 대해 알고 싶어합니다. 다음을 사용하세요:
  • 이메일: 보안 영향이 있는 모든 것(XSS, CSRF, 인증 흐름 누출, 서명된 메시지 재생, 지갑 스푸핑, API에 의해 노출된 민감한 데이터 등)에 대해 security@raydium.io 또는 security@reactorlabs.io. 버그가 민감한 경우 팀의 PGP 키로 암호화하세요. 이메일에서 요청하면 팀이 키를 교환합니다.
  • GitHub 이슈: SDK, 문서, 또는 Raydium이 유지보수하는 오픈소스 저장소의 비보안 기능 버그. 관련 저장소에서 이슈를 열어주세요(예: raydium-io/raydium-sdk-V2).
  • Discord (discord.gg/raydium): 보안에 영향을 주지 않는 낮은 영향의 UI / UX 피드백에 적합합니다. 낯선 사람이 읽으면 악용을 가능하게 할 수 있는 것은 게시하지 마세요.
비바운티 보고에서 얻을 수 있는 것:
  • 인정 - 며칠 내에 응답으로 인정.
  • 교차 저장소 조정 - 수정이 프로그램과 SDK에 걸쳐 있는 경우.
  • 공개 크레딧 - 동의 시 관련 변경 로그 또는 릴리스 노트에 크레딧.
  • 실질적인 발견의 반복 보고자 - 때때로 기여자 프로그램에 초대됩니다. 이 경로는 온체인 바운티와 별개이며 재량에 따라 제공됩니다.
비바운티 보고에서 얻을 수 없는 것:
  • 심각도와 관계없이 확대된 지급. 바운티는 프로그램 코드 발견을 위한 것입니다.
  • 아래의 안전 항구 정책에 따른 보호 — 이 정책은 특히 바운티 범위 연구를 언급합니다. SDK / API / UI 테스트의 경우, 일반적인 책임감 있는 공개 관례와 표준 서비스 약관을 따르세요.

행동 규칙

해야 할 것

  • 메인넷 또는 공개 테스트넷의 로컬 포크에서만 테스트하세요. 모든 개념 증명 작업은 로컬 포크에서 수행해야 합니다.
  • 보고에 작동하는 PoC를 포함하세요(모든 심각도에 필수).
  • 경제적 영향을 최선의 지식으로 추정하세요.
  • 수정을 제안하세요 — Critical 및 High 보고에 필수.

하지 말아야 할 것

  • 메인넷 또는 공개 테스트넷 배포 코드에서 테스트하지 마세요. 이러한 테스트는 금지되어 있습니다. 로컬 포크만 사용하세요.
  • 가격 책정 오라클 또는 제3자 스마트 컨트랙트, 또는 제3자 시스템, 애플리케이션, 브라우저 확장 프로그램, 또는 웹사이트로 테스트하지 마세요.
  • 수정이 배포되기 전에 취약점을 공개적으로 공개하지 마세요(임베고된 바운티에서 패치되지 않은 버그의 공개 공개는 금지됨).
  • 상당한 트래픽을 생성하는 자동화된 테스트를 실행하거나, 프로젝트 자산에 대한 거부 서비스 공격을 실행하지 마세요.
  • Raydium 팀원 또는 사용자를 대상으로 피싱 또는 기타 소셜 엔지니어링을 시도하지 마세요.
  • 동일한 발견을 한 번에 여러 채널을 통해 제출하지 마세요 — Immunefi 또는 이메일 중 하나를 선택하고, 공개 DM을 통해서는 절대 제출하지 마세요.
이들은 Immunefi 규칙을 따릅니다. 위반하면 바운티가 무효화됩니다.

응답 타임라인

프로그램의 중앙값 해결 시간은 약 1일입니다(공개 Immunefi 목록 기준). 아래 단계는 보고가 진행되는 방식을 나타내는 지표입니다. 정확한 SLA는 이 페이지가 아닌 Immunefi 목록과 심사 프로세스에 의해 관리됩니다:
단계예상 시간
초기 심사약 1일(중앙값)
심각도 분류며칠
수정 개발심각도 + 복잡도에 따라 다름
수정 배포온체인 프로그램 타임락 대상
Critical 발견의 경우, 수정 추적이 가속화됩니다: 팀이 멀티시그를 소집하고, 수정을 작성하고, 검토를 위해 제출하고, 타임락 배포를 대기열에 넣습니다.

공개적으로 공개하지 말아야 할 것

수정이 배포되고 Raydium 팀이 당신과 공개를 조정할 때까지:
  • 발견에 대해 트윗하지 마세요(모호한 “뭔가 큰 것을 찾았다”도 안 됨).
  • 버그 클래스를 제3자에게 설명하지 마세요.
  • PoC 코드를 Raydium 심사 팀 외부의 누구와도 공유하지 마세요.
수정 배포 + 조정된 공개 기간 후:
  • 공개 작성은 환영하고 권장됩니다.
  • Raydium은 실질적인 작성을 교차 홍보합니다.
  • 이름을 공개하기로 동의한 연구자는 Immunefi Whitehat Hall of Fame에 크레딧됩니다.

안전 항구 정책

위의 범위와 규칙 내에서 수행된 연구는 명시적으로 승인됩니다. Raydium은:
  • 이 정책을 따르는 선의의 연구에 대해 법적 조치를 취하지 않습니다.
  • 연구 활동을 방해하지 않습니다(예: 연구자 지갑 블랙리스트).
  • 발견을 이해하기 위해 협력합니다.
범위 또는 규칙 외부의 연구는 안전 항구로 보호되지 않습니다. 연구 계획이 경계선에 있다면, 테스트하기 전에 Immunefi의 “Ask Project” 채널을 통해 문의하세요.

주목할 만한 과거 공개

프로그램 코드 바운티의 집계 통계 - 2023년 4월 25일부터 Immunefi에서 운영 중(공개 Immunefi 목록 기준):
  • 현재까지 지급된 총 보상: 약 $3.4M.
  • 중앙값 해결 시간: 약 1일.
Immunefi Whitehat Hall of Fame은 이름을 공개하기로 동의한 연구자를 나열합니다. 비바운티 보고(SDK / API / UI)는 별도로 추적되며 Immunefi가 아닌 관련 저장소의 릴리스 노트에서 인정됩니다.

관련 프로그램

  • Solana Foundation Bug Bounty — Solana 검증자 클라이언트 버그(sealevel, consensus)를 대상으로 합니다. Solana 계층 문제는 여기에 보고하세요. solana.com/security.
  • Squads Protocol Bug Bounty — 멀티시그 자체를 대상으로 합니다. squads.so/security.
  • Immunefi — Raydium을 포함한 많은 DeFi 프로토콜을 대상으로 합니다. immunefi.com.
계층에 걸친 버그(예: Raydium에 나타나는 Solana 검증자 버그)는 모든 적용 가능한 프로그램에 보고해야 합니다.

포인터

출처: