Нещодавно я бачив, як проєктні команди публікують купу посилань на GitHub + звіти про аудит + «оновлення керується мульти-підписами», і новачки легко починають довіряти цьому, але по суті ці три речі теж можна підробити. Мій простий спосіб: спершу перевірити, чи GitHub «живий», частоту комітів, чи є відповіді на issue, чи важливі зміни вставляються тимчасово; не обмежуйтеся лише логотипом у звіті про аудит — перегляньте висновки та охоплення, багато хто лише перевіряє маленький фрагмент, а логіка оновлення там не описана; щодо мульти-підписів — не вірте просто «кілька підписів — це безпечно», потрібно дивитися, хто підписує, чи відкрито це, чи є таймлок/затримка, чи можна оновити правила одним натисканням. Останнім часом знову популярні тестові мережі з мотивацією та системи балів, всі гадують, чи запустять токени у головній мережі… А я навпаки хочу зрозуміти: якщо вони змінять контракт, скільки у мене буде часу реагувати. В будь-якому разі я вважаю, що просте — це пастка, і фраза «усі пройшли аудит — можна бути спокійним» фактично нічого не означає.