この前、新しいプロトコルに挑戦しようと思って、GitHubを半日見て回ったけど、コミット履歴は結構頻繁だった。でも、私のようなセキュリティにこだわるタイプは、まず「誰がコードをマージしているのか」、長期にわたって見かけないコアメンテナがいるかどうかを確認する…監査報告も表紙だけ見て、いくつかの大手監査法人を選ぶだけじゃなくて、結局は結論のページだけを選んで見る：範囲は何をカバーしているか、高リスクの修正はされているか、「確認済み」なのか、それとも「開発が修正したと言っているだけ」なのか。マルチシグのアップグレードはさらに重要で、署名者の人数と閾値を確認し、できれば署名者が分散しているか、臨時に交代しているかも見たい。以前も一度あったけど、プロジェクトのグループチャットで急かされて、マクロ側では金利引き下げ期待やドルの動きとともにリスク資産も揺れているときに、私も気になってしまった…結果、マルチシグがちょうどアップグレードされたばかりで、メンバーリストも公開されていなかった。やめておこう、理解できないなら動かない方がいい。逃したとしても仕方ないし、少なくとも夜中に泣きながら起きることはない。