> ## Documentation Index
> Fetch the complete documentation index at: https://docs.raydium.io/llms.txt
> Use this file to discover all available pages before exploring further.

# 책임감 있는 공개

> Raydium의 버그 바운티 프로그램: 범위(온체인 프로그램 코드만), 심각도 등급 및 보상, 연락 경로(Immunefi 또는 보안 이메일), 지급 구조, 그리고 SDK / UI / API 문제 보고를 위한 비바운티 채널.

<Info>
  **이 페이지는 AI 자동 번역입니다. 모든 내용은 영문판을 기준으로 합니다.**

  [영문판 보기 →](/security/disclosure)
</Info>

<Info>
  Raydium은 **온체인 프로그램 코드만 대상으로 하는** 활발한 버그 바운티 프로그램을 운영하고 있습니다. 이는 [`reference/program-addresses`](/ko/reference/program-addresses)에 나열된 프로그램 ID의 Solana 스마트 컨트랙트를 의미합니다. 이 프로그램은 2023년 4월 25일부터 Immunefi에서 운영 중입니다. 지급액은 심각도와 경제적 영향에 따라 결정되며, 최고 심각도 등급에서는 최대 \$505,000에 이릅니다.

  **SDK, REST API, 그리고 프론트엔드(raydium.io)는 바운티 대상이 아닙니다.** 이들 영역의 문제는 지급 대상이 아니지만, 여전히 보고를 환영합니다. 연락 경로는 아래의 [비바운티 보고(SDK / API / UI)](#비바운티-보고sdk--api--ui) 섹션을 참고하세요.

  이 페이지는 바운티가 무엇을 대상으로 하는지, 보고 방법, 그리고 응답 프로세스에서 무엇을 기대할 수 있는지에 대한 공식 정보입니다.
</Info>

## 범위

### 바운티 대상(지급 대상)

바운티는 **배포된 온체인 프로그램 코드에만** 적용됩니다:

* **배포된 프로그램** - [`reference/program-addresses`](/ko/reference/program-addresses)의 프로그램 ID:
  * AMM v4 (`675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8`)
  * CPMM (`CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C`)
  * CLMM (`CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK`)
  * Stable AMM (`5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h`)
  * LaunchLab (`LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj`)
  * Farm v3 / v5 / v6
  * LP-Lock / Burn & Earn (`LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE`)
  * AMM Routing
* **스마트 컨트랙트 CPI 상호운용성 버그** - 다른 프로그램이 Raydium 프로그램을 올바르게 사용하는 과정에서 Raydium 프로그램 자체가 오작동하는 경우.

### 바운티 대상이 아님(보고 환영 - 아래 참고)

* **Raydium SDK v2** (`@raydium-io/raydium-sdk-v2`) npm 패키지.
* **REST API** ([API 참고](/ko/api-reference) 탭에 나열된 모든 호스트 — `api-v3.raydium.io`, `transaction-v1.raydium.io`, `launch-*-v1.raydium.io` 등).
* **프론트엔드** (`raydium.io`) — XSS, CSRF, 인증 흐름 버그, 지갑 스푸핑, 깨진 UI 상태 포함.
* **오프체인 인덱서, 이미지 / IPFS 게이트웨이, 그리고 UI에 데이터를 제공하는 기타 인프라**.

이들은 지급 대상이 아닙니다. 보고는 여전히 환영하며 도움이 됩니다. 아래의 [비바운티 채널](#비바운티-보고sdk--api--ui)을 통해 제출하세요.

### 범위 외(대상이 아님)

* Raydium과 상호작용하는 제3자 프로그램(해당 팀에 보고).
* Raydium을 통해 라우팅하는 제3자 애그리게이터(예: Jupiter).
* **Raydium이 유지보수하지 않는** 오프체인 도구(Python 커뮤니티 SDK, 제3자 봇 등).
* Raydium 팀원을 대상으로 한 소셜 엔지니어링 공격.
* 검증자 측 담합이나 다수 지분 공격이 필요한 발견(이는 Solana 계층 문제이며 DeFi 바운티 대상이 아님).
* 공개 RPC 엔드포인트 스팸을 통한 DoS.
* 작동하는 개념 증명 없는 자동화된 스캔 도구 출력.

**프로그램별 제외 사항(Immunefi 목록 기준):**

* **AMM v4 / OpenBook 의존성** — OpenBook 의존성과 관련된 버그는 범위에 포함되지 않습니다. AMM v4는 상태 6으로 설정되어 있으므로 유동성이 더 이상 OpenBook 시장으로 공유되지 않습니다.
* **이전 보안 검토에서 이미 지적된 발견** — Ottersec의 CLMM 검토, 그리고 Kudelski, Ottersec, MadShield의 Hybrid AMM 프로그램 검토에서 이미 지적된 문제는 대상이 아닙니다. 이미 공개된 문제를 다시 보고해도 지급되지 않습니다.
* **CLMM 수익 청구 실패(설계상)** — CLMM은 거래 수수료와 농업 수익 토큰을 LP에 발행합니다. 공격자가 금고나 수수료 토큰을 소진한 경우, 사용자는 수익을 청구할 수 없고 거래가 실패합니다. 이는 설계상 의도된 것이며 **취약점으로 간주되지 않습니다**.

### 회색 지대 — 먼저 논의하세요

* 외부 인프라와 상호작용하는 MEV 저항 프리미티브의 버그.
* "올바른" 동작이 모호한 Token-2022 통합 엣지 케이스.
* 코드 버그로 명확하게 매핑되지 않는 경제적 / 게임 이론적 공격.

불확실할 때는 보고하는 것이 좋습니다.

## 심각도 및 보상

보고는 [Immunefi 취약점 심각도 분류 시스템 V2.3](https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-3/)을 사용하여 분류되며, **규칙 우선** 모델을 따릅니다. 이 페이지와 Immunefi 목록의 조건이 지배적이며, 차이가 있을 경우 기본 분류를 우선합니다. 보상은 USD로 표시되며 Raydium 팀이 **RAY, SOL, 또는 USDC**로 지급합니다.

스마트 컨트랙트 보상 등급은 다음과 같습니다:

| 심각도          | 보상                                                       |
| ------------ | -------------------------------------------------------- |
| **Critical** | **직접 영향을 받는 자금의 10%**, 최대 **\$505,000**, 최소 **\$50,000** |
| **High**     | **\$5,000–\$40,000**                                     |
| **Medium**   | **정액 \$5,000**                                           |

Medium 이하에는 별도의 지급 등급이 없습니다. \$50,000 critical 최소값은 직접 영향을 받는 자금이 적을 때 연구자가 보고를 보류하는 것을 방지하기 위해 특별히 설정되었습니다.

### Critical 보상 계산

메인넷 자산의 경우, critical 보상은 \*\*직접 영향을 받는 자금의 10%\*\*이며, 최대 **\$505,000**입니다. 자금 위험의 10%가 **\$50,000** 미만인 경우, 보고는 여전히 **\$50,000 최소값**을 지급받습니다. 상한선과 자금 위험의 10% 기준은 critical 스마트 컨트랙트 보고에 적용됩니다.

### 범위 내 영향

바운티는 Immunefi의 표준화된 영향 분류법을 사용합니다. Raydium 특정 예시를 통해 각 영향이 프로그램에 어떻게 매핑되는지 설명합니다.

**Critical**

* **사용자 자금의 직접 도용** - 미청구 수익 제외, 정지 상태 또는 이동 중 — 예: 유효한 Raydium 명령어를 통해 사용자의 LP 자금을 소진하거나, LP 토큰의 무제한 발행.
* **자금의 영구 동결** — 예: 풀 회계를 손상시켜 자금이 영구적으로 복구 불가능하게 만드는 경우.
* **사용자 자금을 영구적으로 동결하거나, 사용자 거래 승인 없이 자금을 소진 또는 도용할 수 있는 취약점** — 예: 프로그램 업그레이드 권한 우회, 또는 모든 프로토콜 수수료를 도용하는 버그.

**High**

* **미청구 수익 도용** — 예: 농장이나 CLMM 포지션에서 보류 중인 보상 도용.
* **미청구 수익의 영구 동결**.
* **임의의 시간 동안 자금의 임시 동결** — 예: 사용자가 악의적인 거래를 통해 포지션을 종료할 수 없도록 동결.
* **사용자 자금을 임시로 동결하거나 의도적으로 사용자 자금의 가치를 변경할 수 있는 취약점** — 예: 풀 수학 조작 또는 슬리피지 보호 우회.

**Medium**

* **토큰 자금 부족으로 인한 스마트 컨트랙트 운영 불가**.
* **이익을 위한 블록 스터핑**.
* **그리핑** (공격자의 이익 동기 없음, 하지만 사용자 또는 프로토콜에 피해) — 예: 풀의 모든 스왑이 되돌려지는 그리프 가능한 DoS.
* **가스 도용**.
* **무제한 가스 소비**.

## 연락 경로

### 주요: Immunefi

Raydium의 버그 바운티는 [Immunefi](https://immunefi.com/bug-bounty/raydium/information/)에 등록되어 있습니다. Immunefi 플랫폼을 통해 보고하세요:

1. Immunefi 계정을 생성합니다.
2. Raydium 바운티 페이지로 이동합니다.
3. 완전한 PoC와 함께 발견을 제출합니다. **모든 심각도에 대해 개념 증명이 필요합니다** — 설명과 진술은 허용되지 않으며, 작동하는 코드가 필요합니다. Critical 및 High 보고는 제안된 수정도 포함해야 합니다.
4. 보고는 빠르게 처리됩니다 — 프로그램의 중앙값 해결 시간은 약 1일입니다.

**지급은 Immunefi 에스크로가 아닌 Raydium 팀이 직접 처리합니다** — USD로 표시되며 RAY, SOL, 또는 USDC로 지급됩니다. **지급 처리에 KYC가 필요하지 않습니다**.

### 대체: 이메일 제출

바운티 범위 발견은 Immunefi 대신 (또는 추가로) 이메일로도 제출할 수 있습니다:

* `security@raydium.io`
* `security@reactorlabs.io`

Immunefi와 마찬가지로 완전한 작동 PoC를 포함하고, Critical / High 보고의 경우 제안된 수정을 포함하세요. 필요한 경우 팀의 PGP 키로 민감한 세부 정보를 암호화하세요 — 이메일에서 요청하면 팀이 키를 교환합니다. 동일한 발견을 여러 채널을 통해 동시에 제출하지 마세요 (Immunefi **또는** 이메일 중 하나를 선택하세요).

### 직접(critical, 시간에 민감한 발견의 경우)

발견이 적극적으로 악용 중이거나 임박했으며 Immunefi 심사를 기다릴 수 없는 경우, 가장 빠른 보조 경로는:

* **직접 이메일** `security@raydium.io` 또는 `security@reactorlabs.io` — 팀에 직접 연락하는 가장 빠른 경로입니다. 제목 줄에 활성 악용으로 표시하세요.
* **Immunefi의 긴급 버튼** 바운티 페이지에서 — 업무 시간 중 몇 분 내에 에스컬레이션됩니다.
* **Immunefi를 통한 암호화된 연락** — Immunefi는 Raydium 팀에 엔드-투-엔드 암호화된 메시지를 전달할 수 있습니다.

보안 보고에는 공개 채널(X / Twitter, Telegram, Discord)을 피하세요 — 공개 자체가 악용을 유발할 수 있습니다. 보고와 후속 연락 모두에 Immunefi 또는 위의 보안 이메일을 사용하세요.

### 비바운티 보고(SDK / API / UI)

바운티 **외부** 구성 요소의 문제 — SDK, REST API, `raydium.io` 프론트엔드, 또는 오프체인 인프라 — 에는 지급이 없지만, 팀은 여전히 이에 대해 알고 싶어합니다. 다음을 사용하세요:

* **이메일**: 보안 영향이 있는 모든 것(XSS, CSRF, 인증 흐름 누출, 서명된 메시지 재생, 지갑 스푸핑, API에 의해 노출된 민감한 데이터 등)에 대해 `security@raydium.io` 또는 `security@reactorlabs.io`. 버그가 민감한 경우 팀의 PGP 키로 암호화하세요. 이메일에서 요청하면 팀이 키를 교환합니다.
* **GitHub 이슈**: SDK, 문서, 또는 Raydium이 유지보수하는 오픈소스 저장소의 비보안 기능 버그. 관련 저장소에서 이슈를 열어주세요(예: [`raydium-io/raydium-sdk-V2`](https://github.com/raydium-io/raydium-sdk-V2)).
* **Discord** (`discord.gg/raydium`): 보안에 영향을 주지 않는 낮은 영향의 UI / UX 피드백에 적합합니다. **낯선 사람이 읽으면 악용을 가능하게 할 수 있는 것은 게시하지 마세요**.

비바운티 보고에서 얻을 수 있는 것:

* **인정** - 며칠 내에 응답으로 인정.
* **교차 저장소 조정** - 수정이 프로그램과 SDK에 걸쳐 있는 경우.
* **공개 크레딧** - 동의 시 관련 변경 로그 또는 릴리스 노트에 크레딧.
* **실질적인 발견의 반복 보고자** - 때때로 기여자 프로그램에 초대됩니다. 이 경로는 온체인 바운티와 별개이며 재량에 따라 제공됩니다.

비바운티 보고에서 얻을 수 없는 것:

* 심각도와 관계없이 확대된 지급. 바운티는 프로그램 코드 발견을 위한 것입니다.
* 아래의 안전 항구 정책에 따른 보호 — 이 정책은 특히 바운티 범위 연구를 언급합니다. SDK / API / UI 테스트의 경우, 일반적인 책임감 있는 공개 관례와 표준 서비스 약관을 따르세요.

## 행동 규칙

### 해야 할 것

* **메인넷 또는 공개 테스트넷의 로컬 포크에서만 테스트하세요**. 모든 개념 증명 작업은 로컬 포크에서 수행해야 합니다.
* 보고에 작동하는 PoC를 포함하세요(모든 심각도에 필수).
* 경제적 영향을 최선의 지식으로 추정하세요.
* 수정을 제안하세요 — Critical 및 High 보고에 필수.

### 하지 말아야 할 것

* **메인넷 또는 공개 테스트넷 배포 코드에서 테스트하지 마세요.** 이러한 테스트는 금지되어 있습니다. 로컬 포크만 사용하세요.
* **가격 책정 오라클 또는 제3자 스마트 컨트랙트**, 또는 제3자 시스템, 애플리케이션, 브라우저 확장 프로그램, 또는 웹사이트로 테스트하지 마세요.
* 수정이 배포되기 전에 취약점을 공개적으로 공개하지 마세요(임베고된 바운티에서 패치되지 않은 버그의 공개 공개는 금지됨).
* 상당한 트래픽을 생성하는 자동화된 테스트를 실행하거나, 프로젝트 자산에 대한 거부 서비스 공격을 실행하지 마세요.
* Raydium 팀원 또는 사용자를 대상으로 피싱 또는 기타 소셜 엔지니어링을 시도하지 마세요.
* 동일한 발견을 한 번에 여러 채널을 통해 제출하지 마세요 — Immunefi **또는** 이메일 중 하나를 선택하고, 공개 DM을 통해서는 절대 제출하지 마세요.

이들은 [Immunefi 규칙](https://immunefi.com/rules/)을 따릅니다. 위반하면 바운티가 무효화됩니다.

## 응답 타임라인

프로그램의 **중앙값 해결 시간은 약 1일입니다**(공개 Immunefi 목록 기준). 아래 단계는 보고가 진행되는 방식을 나타내는 지표입니다. 정확한 SLA는 이 페이지가 아닌 Immunefi 목록과 심사 프로세스에 의해 관리됩니다:

| 단계     | 예상 시간            |
| ------ | ---------------- |
| 초기 심사  | 약 1일(중앙값)        |
| 심각도 분류 | 며칠               |
| 수정 개발  | 심각도 + 복잡도에 따라 다름 |
| 수정 배포  | 온체인 프로그램 타임락 대상  |

Critical 발견의 경우, 수정 추적이 가속화됩니다: 팀이 멀티시그를 소집하고, 수정을 작성하고, 검토를 위해 제출하고, 타임락 배포를 대기열에 넣습니다.

## 공개적으로 공개하지 말아야 할 것

수정이 배포되고 Raydium 팀이 당신과 공개를 조정할 때까지:

* 발견에 대해 트윗하지 마세요(모호한 "뭔가 큰 것을 찾았다"도 안 됨).
* 버그 클래스를 제3자에게 설명하지 마세요.
* PoC 코드를 Raydium 심사 팀 외부의 누구와도 공유하지 마세요.

수정 배포 + 조정된 공개 기간 후:

* 공개 작성은 환영하고 권장됩니다.
* Raydium은 실질적인 작성을 교차 홍보합니다.
* 이름을 공개하기로 동의한 연구자는 [Immunefi Whitehat Hall of Fame](https://immunefi.com/hall-of-fame/)에 크레딧됩니다.

## 안전 항구 정책

위의 범위와 규칙 내에서 수행된 연구는 명시적으로 승인됩니다. Raydium은:

* 이 정책을 따르는 선의의 연구에 대해 법적 조치를 취하지 않습니다.
* 연구 활동을 방해하지 않습니다(예: 연구자 지갑 블랙리스트).
* 발견을 이해하기 위해 협력합니다.

범위 또는 규칙 **외부**의 연구는 안전 항구로 보호되지 않습니다. 연구 계획이 경계선에 있다면, 테스트하기 전에 Immunefi의 "Ask Project" 채널을 통해 문의하세요.

## 주목할 만한 과거 공개

**프로그램 코드 바운티**의 집계 통계 - 2023년 4월 25일부터 Immunefi에서 운영 중(공개 Immunefi 목록 기준):

* 현재까지 지급된 총 보상: 약 \$3.4M.
* 중앙값 해결 시간: 약 1일.

Immunefi Whitehat Hall of Fame은 이름을 공개하기로 동의한 연구자를 나열합니다. 비바운티 보고(SDK / API / UI)는 별도로 추적되며 Immunefi가 아닌 관련 저장소의 릴리스 노트에서 인정됩니다.

## 관련 프로그램

* **Solana Foundation Bug Bounty** — Solana 검증자 클라이언트 버그(sealevel, consensus)를 대상으로 합니다. Solana 계층 문제는 여기에 보고하세요. [solana.com/security](https://solana.com/security).
* **Squads Protocol Bug Bounty** — 멀티시그 자체를 대상으로 합니다. [squads.so/security](https://squads.so/security).
* **Immunefi** — Raydium을 포함한 많은 DeFi 프로토콜을 대상으로 합니다. [immunefi.com](https://immunefi.com).

계층에 걸친 버그(예: Raydium에 나타나는 Solana 검증자 버그)는 모든 적용 가능한 프로그램에 보고해야 합니다.

## 포인터

* [`security/audits`](/ko/security/audits) — 이전 감사 이력.
* [`security/admin-and-multisig`](/ko/security/admin-and-multisig) — 권한 구조.
* [`security/attack-vectors`](/ko/security/attack-vectors) — 알려진 공격 클래스.

출처:

* [Immunefi Raydium 바운티 페이지](https://immunefi.com/bug-bounty/raydium/information/) — 공식 범위, 지급 조건, 연락 경로.
