最近又一堆新 L1/L2 开激励拉 TVL，群里老哥一边冲一边骂“挖提卖”，我倒是更关心：这项目到底谁说了算、出事谁背锅。

小白想看“可信度”，我觉得先别盯着 GitHub star。重点看：关键合约是不是可升级？如果是，升级权在谁手里，多签几把钥匙、门槛几/几，签名人是不是同一拨人换个马甲。审计报告也别只看“已通过”，翻到风险分级那页，尤其是“中央化权限”“可重入/回调”“紧急暂停”这种，很多不是漏洞，是“设计选择”，说白了就是以后能不能一键改规则。

我自己习惯：先把 admin、proxy、timelock、multisig 地址顺藤摸一遍，能链上对上再谈交互；对不上就算了，少赚点也睡得香。