이 페이지는 AI 자동 번역입니다. 모든 내용은 영문판을 기준으로 합니다.영문판 보기 →
Raydium은 온체인 프로그램 코드만 대상으로 하는 활발한 버그 바운티 프로그램을 운영하고 있습니다. 이는
reference/program-addresses에 나열된 프로그램 ID의 Solana 스마트 컨트랙트를 의미합니다. 이 프로그램은 2023년 4월 25일부터 Immunefi에서 운영 중입니다. 지급액은 심각도와 경제적 영향에 따라 결정되며, 최고 심각도 등급에서는 최대 $505,000에 이릅니다.SDK, REST API, 그리고 프론트엔드(raydium.io)는 바운티 대상이 아닙니다. 이들 영역의 문제는 지급 대상이 아니지만, 여전히 보고를 환영합니다. 연락 경로는 아래의 비바운티 보고(SDK / API / UI) 섹션을 참고하세요.이 페이지는 바운티가 무엇을 대상으로 하는지, 보고 방법, 그리고 응답 프로세스에서 무엇을 기대할 수 있는지에 대한 공식 정보입니다.범위
바운티 대상(지급 대상)
바운티는 배포된 온체인 프로그램 코드에만 적용됩니다:- 배포된 프로그램 -
reference/program-addresses의 프로그램 ID:- AMM v4 (
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM (
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM (
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM (
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab (
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn (
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4 (
- 스마트 컨트랙트 CPI 상호운용성 버그 - 다른 프로그램이 Raydium 프로그램을 올바르게 사용하는 과정에서 Raydium 프로그램 자체가 오작동하는 경우.
바운티 대상이 아님(보고 환영 - 아래 참고)
- Raydium SDK v2 (
@raydium-io/raydium-sdk-v2) npm 패키지. - REST API (API 참고 탭에 나열된 모든 호스트 —
api-v3.raydium.io,transaction-v1.raydium.io,launch-*-v1.raydium.io등). - 프론트엔드 (
raydium.io) — XSS, CSRF, 인증 흐름 버그, 지갑 스푸핑, 깨진 UI 상태 포함. - 오프체인 인덱서, 이미지 / IPFS 게이트웨이, 그리고 UI에 데이터를 제공하는 기타 인프라.
범위 외(대상이 아님)
- Raydium과 상호작용하는 제3자 프로그램(해당 팀에 보고).
- Raydium을 통해 라우팅하는 제3자 애그리게이터(예: Jupiter).
- Raydium이 유지보수하지 않는 오프체인 도구(Python 커뮤니티 SDK, 제3자 봇 등).
- Raydium 팀원을 대상으로 한 소셜 엔지니어링 공격.
- 검증자 측 담합이나 다수 지분 공격이 필요한 발견(이는 Solana 계층 문제이며 DeFi 바운티 대상이 아님).
- 공개 RPC 엔드포인트 스팸을 통한 DoS.
- 작동하는 개념 증명 없는 자동화된 스캔 도구 출력.
- AMM v4 / OpenBook 의존성 — OpenBook 의존성과 관련된 버그는 범위에 포함되지 않습니다. AMM v4는 상태 6으로 설정되어 있으므로 유동성이 더 이상 OpenBook 시장으로 공유되지 않습니다.
- 이전 보안 검토에서 이미 지적된 발견 — Ottersec의 CLMM 검토, 그리고 Kudelski, Ottersec, MadShield의 Hybrid AMM 프로그램 검토에서 이미 지적된 문제는 대상이 아닙니다. 이미 공개된 문제를 다시 보고해도 지급되지 않습니다.
- CLMM 수익 청구 실패(설계상) — CLMM은 거래 수수료와 농업 수익 토큰을 LP에 발행합니다. 공격자가 금고나 수수료 토큰을 소진한 경우, 사용자는 수익을 청구할 수 없고 거래가 실패합니다. 이는 설계상 의도된 것이며 취약점으로 간주되지 않습니다.
회색 지대 — 먼저 논의하세요
- 외부 인프라와 상호작용하는 MEV 저항 프리미티브의 버그.
- “올바른” 동작이 모호한 Token-2022 통합 엣지 케이스.
- 코드 버그로 명확하게 매핑되지 않는 경제적 / 게임 이론적 공격.
심각도 및 보상
보고는 Immunefi 취약점 심각도 분류 시스템 V2.3을 사용하여 분류되며, 규칙 우선 모델을 따릅니다. 이 페이지와 Immunefi 목록의 조건이 지배적이며, 차이가 있을 경우 기본 분류를 우선합니다. 보상은 USD로 표시되며 Raydium 팀이 RAY, SOL, 또는 USDC로 지급합니다. 스마트 컨트랙트 보상 등급은 다음과 같습니다:| 심각도 | 보상 |
|---|---|
| Critical | 직접 영향을 받는 자금의 10%, 최대 $505,000, 최소 $50,000 |
| High | $5,000–$40,000 |
| Medium | 정액 $5,000 |
Critical 보상 계산
메인넷 자산의 경우, critical 보상은 **직접 영향을 받는 자금의 10%**이며, 최대 $505,000입니다. 자금 위험의 10%가 $50,000 미만인 경우, 보고는 여전히 $50,000 최소값을 지급받습니다. 상한선과 자금 위험의 10% 기준은 critical 스마트 컨트랙트 보고에 적용됩니다.범위 내 영향
바운티는 Immunefi의 표준화된 영향 분류법을 사용합니다. Raydium 특정 예시를 통해 각 영향이 프로그램에 어떻게 매핑되는지 설명합니다. Critical- 사용자 자금의 직접 도용 - 미청구 수익 제외, 정지 상태 또는 이동 중 — 예: 유효한 Raydium 명령어를 통해 사용자의 LP 자금을 소진하거나, LP 토큰의 무제한 발행.
- 자금의 영구 동결 — 예: 풀 회계를 손상시켜 자금이 영구적으로 복구 불가능하게 만드는 경우.
- 사용자 자금을 영구적으로 동결하거나, 사용자 거래 승인 없이 자금을 소진 또는 도용할 수 있는 취약점 — 예: 프로그램 업그레이드 권한 우회, 또는 모든 프로토콜 수수료를 도용하는 버그.
- 미청구 수익 도용 — 예: 농장이나 CLMM 포지션에서 보류 중인 보상 도용.
- 미청구 수익의 영구 동결.
- 임의의 시간 동안 자금의 임시 동결 — 예: 사용자가 악의적인 거래를 통해 포지션을 종료할 수 없도록 동결.
- 사용자 자금을 임시로 동결하거나 의도적으로 사용자 자금의 가치를 변경할 수 있는 취약점 — 예: 풀 수학 조작 또는 슬리피지 보호 우회.
- 토큰 자금 부족으로 인한 스마트 컨트랙트 운영 불가.
- 이익을 위한 블록 스터핑.
- 그리핑 (공격자의 이익 동기 없음, 하지만 사용자 또는 프로토콜에 피해) — 예: 풀의 모든 스왑이 되돌려지는 그리프 가능한 DoS.
- 가스 도용.
- 무제한 가스 소비.
연락 경로
주요: Immunefi
Raydium의 버그 바운티는 Immunefi에 등록되어 있습니다. Immunefi 플랫폼을 통해 보고하세요:- Immunefi 계정을 생성합니다.
- Raydium 바운티 페이지로 이동합니다.
- 완전한 PoC와 함께 발견을 제출합니다. 모든 심각도에 대해 개념 증명이 필요합니다 — 설명과 진술은 허용되지 않으며, 작동하는 코드가 필요합니다. Critical 및 High 보고는 제안된 수정도 포함해야 합니다.
- 보고는 빠르게 처리됩니다 — 프로그램의 중앙값 해결 시간은 약 1일입니다.
대체: 이메일 제출
바운티 범위 발견은 Immunefi 대신 (또는 추가로) 이메일로도 제출할 수 있습니다:security@raydium.iosecurity@reactorlabs.io
직접(critical, 시간에 민감한 발견의 경우)
발견이 적극적으로 악용 중이거나 임박했으며 Immunefi 심사를 기다릴 수 없는 경우, 가장 빠른 보조 경로는:- 직접 이메일
security@raydium.io또는security@reactorlabs.io— 팀에 직접 연락하는 가장 빠른 경로입니다. 제목 줄에 활성 악용으로 표시하세요. - Immunefi의 긴급 버튼 바운티 페이지에서 — 업무 시간 중 몇 분 내에 에스컬레이션됩니다.
- Immunefi를 통한 암호화된 연락 — Immunefi는 Raydium 팀에 엔드-투-엔드 암호화된 메시지를 전달할 수 있습니다.
비바운티 보고(SDK / API / UI)
바운티 외부 구성 요소의 문제 — SDK, REST API,raydium.io 프론트엔드, 또는 오프체인 인프라 — 에는 지급이 없지만, 팀은 여전히 이에 대해 알고 싶어합니다. 다음을 사용하세요:
- 이메일: 보안 영향이 있는 모든 것(XSS, CSRF, 인증 흐름 누출, 서명된 메시지 재생, 지갑 스푸핑, API에 의해 노출된 민감한 데이터 등)에 대해
security@raydium.io또는security@reactorlabs.io. 버그가 민감한 경우 팀의 PGP 키로 암호화하세요. 이메일에서 요청하면 팀이 키를 교환합니다. - GitHub 이슈: SDK, 문서, 또는 Raydium이 유지보수하는 오픈소스 저장소의 비보안 기능 버그. 관련 저장소에서 이슈를 열어주세요(예:
raydium-io/raydium-sdk-V2). - Discord (
discord.gg/raydium): 보안에 영향을 주지 않는 낮은 영향의 UI / UX 피드백에 적합합니다. 낯선 사람이 읽으면 악용을 가능하게 할 수 있는 것은 게시하지 마세요.
- 인정 - 며칠 내에 응답으로 인정.
- 교차 저장소 조정 - 수정이 프로그램과 SDK에 걸쳐 있는 경우.
- 공개 크레딧 - 동의 시 관련 변경 로그 또는 릴리스 노트에 크레딧.
- 실질적인 발견의 반복 보고자 - 때때로 기여자 프로그램에 초대됩니다. 이 경로는 온체인 바운티와 별개이며 재량에 따라 제공됩니다.
- 심각도와 관계없이 확대된 지급. 바운티는 프로그램 코드 발견을 위한 것입니다.
- 아래의 안전 항구 정책에 따른 보호 — 이 정책은 특히 바운티 범위 연구를 언급합니다. SDK / API / UI 테스트의 경우, 일반적인 책임감 있는 공개 관례와 표준 서비스 약관을 따르세요.
행동 규칙
해야 할 것
- 메인넷 또는 공개 테스트넷의 로컬 포크에서만 테스트하세요. 모든 개념 증명 작업은 로컬 포크에서 수행해야 합니다.
- 보고에 작동하는 PoC를 포함하세요(모든 심각도에 필수).
- 경제적 영향을 최선의 지식으로 추정하세요.
- 수정을 제안하세요 — Critical 및 High 보고에 필수.
하지 말아야 할 것
- 메인넷 또는 공개 테스트넷 배포 코드에서 테스트하지 마세요. 이러한 테스트는 금지되어 있습니다. 로컬 포크만 사용하세요.
- 가격 책정 오라클 또는 제3자 스마트 컨트랙트, 또는 제3자 시스템, 애플리케이션, 브라우저 확장 프로그램, 또는 웹사이트로 테스트하지 마세요.
- 수정이 배포되기 전에 취약점을 공개적으로 공개하지 마세요(임베고된 바운티에서 패치되지 않은 버그의 공개 공개는 금지됨).
- 상당한 트래픽을 생성하는 자동화된 테스트를 실행하거나, 프로젝트 자산에 대한 거부 서비스 공격을 실행하지 마세요.
- Raydium 팀원 또는 사용자를 대상으로 피싱 또는 기타 소셜 엔지니어링을 시도하지 마세요.
- 동일한 발견을 한 번에 여러 채널을 통해 제출하지 마세요 — Immunefi 또는 이메일 중 하나를 선택하고, 공개 DM을 통해서는 절대 제출하지 마세요.
응답 타임라인
프로그램의 중앙값 해결 시간은 약 1일입니다(공개 Immunefi 목록 기준). 아래 단계는 보고가 진행되는 방식을 나타내는 지표입니다. 정확한 SLA는 이 페이지가 아닌 Immunefi 목록과 심사 프로세스에 의해 관리됩니다:| 단계 | 예상 시간 |
|---|---|
| 초기 심사 | 약 1일(중앙값) |
| 심각도 분류 | 며칠 |
| 수정 개발 | 심각도 + 복잡도에 따라 다름 |
| 수정 배포 | 온체인 프로그램 타임락 대상 |
공개적으로 공개하지 말아야 할 것
수정이 배포되고 Raydium 팀이 당신과 공개를 조정할 때까지:- 발견에 대해 트윗하지 마세요(모호한 “뭔가 큰 것을 찾았다”도 안 됨).
- 버그 클래스를 제3자에게 설명하지 마세요.
- PoC 코드를 Raydium 심사 팀 외부의 누구와도 공유하지 마세요.
- 공개 작성은 환영하고 권장됩니다.
- Raydium은 실질적인 작성을 교차 홍보합니다.
- 이름을 공개하기로 동의한 연구자는 Immunefi Whitehat Hall of Fame에 크레딧됩니다.
안전 항구 정책
위의 범위와 규칙 내에서 수행된 연구는 명시적으로 승인됩니다. Raydium은:- 이 정책을 따르는 선의의 연구에 대해 법적 조치를 취하지 않습니다.
- 연구 활동을 방해하지 않습니다(예: 연구자 지갑 블랙리스트).
- 발견을 이해하기 위해 협력합니다.
주목할 만한 과거 공개
프로그램 코드 바운티의 집계 통계 - 2023년 4월 25일부터 Immunefi에서 운영 중(공개 Immunefi 목록 기준):- 현재까지 지급된 총 보상: 약 $3.4M.
- 중앙값 해결 시간: 약 1일.
관련 프로그램
- Solana Foundation Bug Bounty — Solana 검증자 클라이언트 버그(sealevel, consensus)를 대상으로 합니다. Solana 계층 문제는 여기에 보고하세요. solana.com/security.
- Squads Protocol Bug Bounty — 멀티시그 자체를 대상으로 합니다. squads.so/security.
- Immunefi — Raydium을 포함한 많은 DeFi 프로토콜을 대상으로 합니다. immunefi.com.
포인터
security/audits— 이전 감사 이력.security/admin-and-multisig— 권한 구조.security/attack-vectors— 알려진 공격 클래스.
- Immunefi Raydium 바운티 페이지 — 공식 범위, 지급 조건, 연락 경로.

