今、私は新しいプロトコルの「信頼性」を見ているところだ。先にTVLは見ない（どうせ上がったら虚しいだけだから）。まずGitHubを見てみる：それがどれだけ立派かではなく、長期的に誰かが動いているか、issueに真剣に議論している人がいるか、「二行修正して権限を変える」ような陰湿な操作があるかどうかを見る…それを見て冷や汗が出る。

監査報告書も神格化しない方がいい。要点は三つ：範囲が明確に書かれているか、既知のリスクが修正されているか、監査後に大きなアップグレードがあって再監査されているか。最も重要なのはアップグレードのマルチシグだ：何人で、同じ会社なのか、タイムロックはあるのか。最後に、DeFiだと思ったら実は「管理者がいつでも私のウォレットアドレスを変更できる」小さなゲームだった、なんてことにならないように。

最近ハードウェアウォレットが品薄になっていて、フィッシングリンクが飛び交っている。みんな突然セキュリティについて語り始めて、ちょっと慣れないな…自分はというと、リンクは手動で入力し、署名のポップアップはよく見てから承認している。簡単に「ワンクリックで受け取れる」やつは、もういいや。本当に受け取りたいなら、まずGitHubで「真剣に議論しているか」確認する。さっきの冷や汗は、結局それに頼るしかない。