Esta página foi traduzida automaticamente por IA. A versão em inglês é a fonte oficial.Ver versão em inglês →
O Raydium executa um programa de bug bounty ativo cobrindo apenas o código de programa on-chain — os smart contracts Solana nos IDs de programa listados em
reference/program-addresses. O programa está ativo no Immunefi desde 25 de abril de 2023. Os pagamentos variam conforme a severidade e o impacto econômico, chegando a $505.000 no topo do nível crítico.O SDK, APIs REST e frontend (raydium.io) não fazem parte do bounty. Problemas lá não geram pagamento, mas relatórios ainda são bem-vindos — veja Relatórios não-bounty (SDK / API / UI) abaixo para o caminho de contato.Esta página é a fonte oficial do que o bounty cobre, como relatar e o que esperar do processo de resposta.Escopo
Dentro do escopo do bounty (com pagamento)
O bounty se aplica apenas ao código de programa on-chain implantado:- Programas implantados nos IDs de programa em
reference/program-addresses:- AMM v4 (
675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8) - CPMM (
CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C) - CLMM (
CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK) - Stable AMM (
5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h) - LaunchLab (
LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj) - Farm v3 / v5 / v6
- LP-Lock / Burn & Earn (
LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE) - AMM Routing
- AMM v4 (
- Bugs de composabilidade CPI de smart contract onde o uso correto de um programa Raydium por um programa que o compõe causa mau funcionamento do próprio programa Raydium.
Fora do escopo do bounty (bem-vindo relatar — veja abaixo)
- Raydium SDK v2 (
@raydium-io/raydium-sdk-v2) no npm. - APIs REST (todos os hosts listados na aba API Reference —
api-v3.raydium.io,transaction-v1.raydium.io,launch-*-v1.raydium.io, etc.). - Frontend (
raydium.io) — incluindo XSS, CSRF, bugs de fluxo de autenticação, spoofing de carteira, estados de UI quebrados. - Indexadores off-chain, gateways de imagem / IPFS e qualquer outra infraestrutura que fornece dados para a UI.
Fora de escopo (não elegível)
- Programas de terceiros que se compõem com Raydium (reporte aos seus times).
- Agregadores de terceiros que roteiam através do Raydium (ex: Jupiter).
- Ferramentas off-chain não mantidas pelo Raydium (SDKs comunitários em Python, bots de terceiros, etc.).
- Ataques de engenharia social contra membros do time Raydium.
- Qualquer descoberta que exija conluio do lado do validador ou ataques de stake majoritário (isto é camada Solana, não alvo de bounty DeFi).
- DoS via spam em endpoints RPC públicos.
- Saídas de ferramentas de scanning automatizado sem prova de conceito funcional.
- Dependências AMM v4 / OpenBook — bugs pertencentes a dependências OpenBook não estão no escopo. AMM v4 está definido como Status 6, então a liquidez não é mais compartilhada com mercados OpenBook.
- Descobertas já sinalizadas em revisões de segurança anteriores não são elegíveis: a revisão Ottersec do CLMM, e as revisões Kudelski, Ottersec e MadShield do programa Hybrid AMM. Re-relatar um problema já divulgado não gera pagamento.
- Falha de reivindicação de yield CLMM por design — o CLMM emite tokens de taxa de negociação e yield de farming para LPs. Se um atacante drenasse o vault ou tokens de taxa, os usuários seriam incapazes de reivindicar yield e as transações falhariam. Isto é por design e não é considerado uma vulnerabilidade.
Zona cinzenta — discuta primeiro
- Bugs em primitivos de resistência a MEV que interagem com infraestrutura externa.
- Casos extremos de integração Token-2022 onde o comportamento “correto” é ambíguo.
- Ataques econômicos / teórico-dos-jogos que não mapeiam claramente para um bug de código.
Severidade e recompensas
Relatórios são classificados usando o Immunefi Vulnerability Severity Classification System V2.3, sob um modelo de Primacy of Rules: os termos nesta página e a listagem Immunefi governam e têm precedência sobre a classificação padrão onde diferem. Recompensas são denominadas em USD e pagas pelo time Raydium em RAY, SOL ou USDC. Os níveis de recompensa de smart contract são:| Severidade | Recompensa |
|---|---|
| Crítica | 10% dos fundos diretamente afetados, limitado a $505.000, com mínimo de $50.000 |
| Alta | $5.000–$40.000 |
| Média | $5.000 fixo |
Cálculo de recompensa crítica
Para ativos em mainnet, a recompensa crítica é 10% dos fundos diretamente afetados, até um máximo de $505.000. Se 10% dos fundos em risco cair abaixo de $50.000, o relatório ainda paga o mínimo de $50.000. O limite e a base de 10%-de-fundos-em-risco se aplicam a relatórios críticos de smart contract.Impactos no escopo
O bounty usa a taxonomia de impacto padronizada do Immunefi. Exemplos específicos do Raydium são fornecidos para ilustrar como cada impacto mapeia para os programas. Crítica- Roubo direto de qualquer fundo do usuário, em repouso ou em movimento, exceto yield não reivindicado — ex: drenar fundos LP de um usuário via uma instrução Raydium válida, ou uma cunhagem ilimitada de tokens LP.
- Congelamento permanente de fundos — ex: corromper a contabilidade do pool para que fundos se tornem permanentemente irrecuperáveis.
- Vulnerabilidades que poderiam congelar fundos do usuário permanentemente, ou que drenem ou roubem fundos sem aprovação de transação do usuário — ex: contornar a autoridade de upgrade do programa, ou um bug de roubo-todas-as-taxas-do-protocolo.
- Roubo de yield não reivindicado — ex: roubar recompensas pendentes de farms ou posições CLMM.
- Congelamento permanente de yield não reivindicado.
- Congelamento temporário de fundos por qualquer período de tempo — ex: congelar a posição de um usuário para que não possa fechá-la via tx maliciosa.
- Vulnerabilidades que poderiam congelar fundos do usuário temporariamente ou alterar intencionalmente o valor dos fundos do usuário — ex: manipular a matemática do pool ou contornar proteção de slippage.
- Smart contract incapaz de operar devido à falta de fundos de token.
- Block stuffing para lucro.
- Griefing (sem motivo de lucro para o atacante, mas dano aos usuários ou ao protocolo) — ex: DoS griefável onde todos os swaps em um pool revertam.
- Roubo de gas.
- Consumo de gas ilimitado.
Caminhos de contato
Primário: Immunefi
O bug bounty do Raydium está listado no Immunefi. Reporte através da plataforma Immunefi:- Crie uma conta Immunefi.
- Navegue até a página do bounty Raydium.
- Envie a descoberta com um PoC completo. Uma prova de conceito é obrigatória para todas as severidades — explicações e declarações não são aceitas, código funcional é obrigatório. Relatórios Críticos e Altos também devem incluir uma correção sugerida.
- Relatórios são tratados rapidamente — o tempo mediano de resolução do programa é ~1 dia.
Alternativa: envio por email
Descobertas no escopo do bounty também podem ser enviadas por email em vez de (ou além de) Immunefi:security@raydium.iosecurity@reactorlabs.io
Direto (para descobertas críticas e sensíveis ao tempo)
Se a descoberta está sendo explorada ativamente ou é iminente e você não pode esperar pela triagem Immunefi, o caminho secundário mais rápido é:- Email direto para
security@raydium.ioousecurity@reactorlabs.io— o caminho mais rápido para alcançar o time diretamente; sinalize a linha de assunto como um exploit ativo. - Botão de emergência Immunefi na página do bounty — escala em minutos durante horário comercial.
- Contato criptografado através do Immunefi — Immunefi pode retransmitir uma mensagem criptografada ponta-a-ponta para o time Raydium.
Relatórios não-bounty (SDK / API / UI)
Para problemas em componentes fora do bounty — o SDK, as APIs REST, o frontendraydium.io, ou qualquer infraestrutura off-chain — não há pagamento, mas o time ainda quer ouvir sobre eles. Use:
- Email:
security@raydium.ioousecurity@reactorlabs.iopara qualquer coisa com implicações de segurança (XSS, CSRF, vazamentos de fluxo de autenticação, replay de mensagem assinada, spoofing de carteira, dados sensíveis expostos por uma API, etc.). Criptografe com a chave PGP do time se o bug for sensível; peça no email e o time trocará chaves. - Issues GitHub: para bugs funcionais não-segurança no SDK, na documentação, ou em qualquer repositório open-source mantido pelo Raydium. Abra uma issue no repositório relevante (ex:
raydium-io/raydium-sdk-V2). - Discord (
discord.gg/raydium): adequado para feedback de UI / UX de baixo impacto que não toca segurança. Não poste nada que pudesse habilitar um exploit se lido por um estranho.
- Reconhecimento na resposta dentro de alguns dias úteis.
- Coordenação entre repositórios se a correção abrange o programa e o SDK.
- Crédito público (com seu consentimento) nas notas de lançamento ou changelog relevante.
- Relatores repetidos de descobertas substantivas às vezes são convidados para um programa de contribuidor; esse caminho é separado do bounty on-chain e é oferecido em base discricionária.
- Um pagamento em escala, independentemente da severidade. O bounty é para descobertas de código de programa.
- Cobertura sob a política de safe harbor abaixo — essa política especificamente se refere a pesquisa no escopo do bounty. Para testes de SDK / API / UI, siga convenções de divulgação responsável normais e termos de serviço padrão.
Regras de engajamento
Faça
- Teste apenas contra um fork local de mainnet ou testnet público. Todo trabalho de prova de conceito deve ser feito em um fork local.
- Inclua um PoC funcional no relatório (obrigatório para todas as severidades).
- Estime o impacto econômico do melhor de seu conhecimento.
- Proponha uma correção — obrigatório para relatórios Críticos e Altos.
Não faça
- Teste em mainnet ou código implantado em testnet público. Qualquer teste assim é proibido; use apenas forks locais.
- Teste com oráculos de preço ou smart contracts de terceiros, ou com sistemas, aplicações, extensões de navegador ou websites de terceiros.
- Divulgue publicamente a vulnerabilidade antes de uma correção ser implantada (divulgação pública de um bug não corrigido em um bounty embargado é proibida).
- Execute testes automatizados que geram tráfego significativo, ou qualquer ataque de negação de serviço contra ativos do projeto.
- Tente phishing ou outra engenharia social contra membros do time Raydium ou usuários.
- Envie a mesma descoberta através de mais de um canal ao mesmo tempo — escolha Immunefi ou email, não ambos, e nunca via DMs públicos.
Cronograma de resposta
O programa tem tempo mediano de resolução de cerca de 1 dia (conforme a listagem pública Immunefi). As fases abaixo são indicativas de como um relatório progride; SLAs exatos são governados pela listagem Immunefi e processo de triagem, não por esta página:| Fase | Tempo indicativo |
|---|---|
| Triagem inicial | ~1 dia (mediano) |
| Classificação de severidade | Alguns dias úteis |
| Desenvolvimento de correção | Depende de severidade + complexidade |
| Implantação de correção | Sujeito ao timelock do programa on-chain |
O que não divulgar publicamente
Até uma correção ser implantada e o time Raydium ter coordenado divulgação com você:- Não tuíte sobre a descoberta (mesmo vago “encontrei algo grande”).
- Não descreva a classe de bug para terceiros.
- Não compartilhe código PoC com ninguém fora do time de triagem do Raydium.
- Writeups públicos são bem-vindos e encorajados.
- Raydium fará cross-promote de writeups substantivos.
- Pesquisadores que consentem em ser nomeados são creditados no Immunefi Whitehat Hall of Fame.
Política de safe harbor
Pesquisa conduzida dentro do escopo e regras acima é explicitamente autorizada. Raydium:- Não buscará ação legal por pesquisa de boa fé que segue esta política.
- Não interferirá com atividades de pesquisa (ex: colocar carteiras de pesquisadores na lista negra).
- Colaborará no entendimento da descoberta.
Divulgações notáveis anteriores
Estatísticas agregadas para o bounty de código de programa, que está ativo no Immunefi desde 25 de abril de 2023 (figuras conforme a listagem pública Immunefi):- Recompensas totais pagas até agora: ~$3,4M.
- Tempo mediano de resolução: ~1 dia.
Programas relacionados
- Solana Foundation Bug Bounty — cobre bugs do cliente validador Solana (sealevel, consensus). Reporte lá para problemas de camada Solana. solana.com/security.
- Squads Protocol Bug Bounty — cobre o próprio multisig. squads.so/security.
- Immunefi — cobre muitos protocolos DeFi incluindo Raydium. immunefi.com.
Referências
security/audits— histórico de auditorias anteriores.security/admin-and-multisig— estrutura de autoridade.security/attack-vectors— classes de ataque conhecidas.
- Página do bounty Raydium no Immunefi — escopo canônico, termos de pagamento e caminho de contato.

