Le chiavi del deployer devono essere completamente non attendibili e trattate come usa e getta. Anche per un protocollo aggiornabile, una chiave dovrebbe essere distribuita, configurata e quindi cedere definitivamente il controllo. Quindi la governance principale può quindi verificare e accettare il nuovo codice.