Acabei de receber no celular um ponto vermelho dizendo "A atualização de protocolo foi executada", e minha primeira reação não foi se vai subir ou não, mas sim: quem realmente manda nisso… Para os iniciantes que querem verificar a confiabilidade, acho que não se deixe enganar pelos três caracteres "auditado". Primeiro, dê uma olhada no GitHub: há commits contínuos, é um monte de fork mas o repositório principal está vazio, as mudanças importantes foram revisadas por alguém (mesmo que você não entenda o código, dá para perceber se "alguém está trabalhando"). Além do relatório de auditoria, não olhe só o logo na capa, foque nas páginas de conclusões: problemas de alto risco foram resolvidos, a verificação da correção foi feita, o escopo da auditoria excluiu as atualizações/autorizações mais sensíveis. Depois, sobre a atualização multi-assinatura: o número de assinaturas é suficiente e disperso, o limiar é alto, há um timelock (para te dar tempo de reagir antes de uma possível fuga). Recentemente, a discussão sobre conformidade de moedas de privacidade/mescladores tem se acirrado, na verdade com a mesma lógica: quanto mais concentrado for o controle, mais quente será a narrativa, e mais importante é tratar o "controle" como um risco. De qualquer forma, quando vejo um pop-up assim, primeiro verifico as permissões, senão fico inseguro.