| 감사 | - 어느 업체가 감사를 진행했나요? (최상위 감사사 선호)
- 감사는 몇 차례 진행됐나요? (최소 2회 권장)
- 발견된 Critical/High 이슈는 모두 해결됐나요?
- 감사 보고서가 공개되어 있나요?
| 최고 |
| 버그 바운티 | - Immunefi, HackerOne 등에서 진행 중인 버그 바운티가 있나요?
- 보상 규모가 적정한가요? (TVL 대비 높은 보상은 보안 자신감을 시사)
| 높음 |
| 트랙 레코드 | - 메인넷에서 큰 문제 없이 운영된 기간은 얼마나 되나요?
- 해킹·자금 손실 이력이 있다면 어떻게 대응했나요?
| 높음 |
| 어드민 키 구조 | - 코어 설정을 바꿀 수 있는 어드민 키가 있나요?
- 있다면 멀티시그로 관리되나요? 서명자는 누구인가요?
| 높음 |
| 의존성 | - 어떤 오라클을 사용하나요? (예: Chainlink, Pyth 등 신뢰 가능한 공급자) 가격 산출 메커니즘은?
- 다른 프로토콜 위에서 빌드되었다면, 기반 레이어는 보안하다고 볼 수 있나요?
| 중간 |
| 의존성 그래프 깊이 | - 기반 프로토콜, 볼트, 브릿지, 담보 자산, 재담보화 레이어 같은 2차·3차 의존성이 중요한 수준으로 존재하나요?
- 핵심 상위 의존성이 충분히 투명하고, 감사되었으며, 모니터링 가능한가요?
- 하위 레이어의 실패가 전략 NAV, 유동성, 출금 가능성에 중대한 영향을 줄 수 있나요?
| 높음 |
| 오라클 리스크 프로파일 | - 오라클 소스, 업데이트 주기, 편차 기준, 대체 메커니즘이 명확히 문서화되어 있나요?
- 오라클 지연이나 수동 증명 기반 가격이 시장 스트레스 상황에서 허위 지급능력 구간을 만들 수 있나요?
- NAV형 또는 지연 가격 피드의 경우, 보수적 평가와 stale price 통제가 마련되어 있나요?
| 높음 |
| 코드 공개 & 문서 | - 코드가 GitHub에 완전 공개되어 있나요?
- 개발자 문서가 충실히 유지되나요?
| 중간 |
| 크로스체인 보안 (브리지 토큰 한정) | - 어떤 브리징 스택을 쓰며, verifier set이 threshold 구성인가요? (1-of-1 회피)
- 트랜스포트 레이어(시간당 캡)와 민트 레이어(블록당 캡) 양쪽에 레이트 리밋이 있고, 검증된 킬스위치가 있나요?
| 최고 |
