今、私は「信頼できるか信頼できないか」というプロジェクトを見ていますが、実際にそれがどれだけ良く聞こえるかはあまり気にせず、まずGitHubと監査を確認します。GitHubはスター数を見るのではなく、主に更新が連続しているか、変更に誰かレビューが入っているか、重要なパラメータが一度変更されるとすぐにオンチェーンで有効になるかどうかを見るのです；半年動かず、突然一気にコアロジックを大量に変更するようなものには少し不安を感じます。監査報告も表紙の「監査済み」だけを見るのではなく、結論や未修復項目を確認してください：高危険/中危険が本当に修正されたのか、それとも「リスクを受け入れる」とだけ書いてあるのか。要するに、危険を残しているだけです。

また、マルチシグのアップグレードについて、多くの人が見落としている点があります：何人が署名しているか、閾値はいくつか、署名者は分散しているか、タイムロックがあるか（市場に反応時間を与えるため）、これらは「分散化のビジョンを書いた」以上に重要です。最近はステーキング解除やトークン解除のスケジュールに焦りやプレッシャーを感じていますが、私がむしろ怖いのは、解除前後にプロジェクト側がさっと権限をアップグレードすることです…もし私からアドバイスを求められたら：コードを読めなくても構いませんが、少なくとも「誰がルールを変更できるか」「変更が有効になるまでどれくらいかかるか」「変更の記録があるか」の3つを理解しておくことです。そうすれば学費を少なく済ませられます。