Gần đây thấy các dự án tung ra một loạt liên kết GitHub + báo cáo kiểm toán + “nâng cấp do đa chữ ký kiểm soát”, newbie dễ yên tâm hơn, nhưng nói thật thì ba thứ này cũng có thể giả mạo. Phương pháp ngu của tôi: trước tiên xem GitHub có “sống” không, tần suất gửi commit, có ai trả lời issue không, các thay đổi quan trọng có phải là chèn tạm vào không; kiểm toán đừng chỉ nhìn vào logo trên bìa, xem kết luận và phạm vi, nhiều người chỉ kiểm tra một phần nhỏ, logic nâng cấp không nằm trong đó; đa chữ ký đừng nghe “nhiều chữ ký rất an toàn”, phải xem ai ký, có công khai không, có timelock/độ trễ không, có thể nâng cấp bằng một cú nhấn để thay đổi quy tắc không. Gần đây, hệ thống khuyến khích mạng thử nghiệm, điểm thưởng lại nóng lên, mọi người đều đoán xem mainnet có phát token không… Tôi lại muốn rõ ràng hơn: nếu họ thay đổi hợp đồng, tôi có phản ứng kịp thời không. Dù sao tôi xem đơn giản như là bẫy, một câu “đã kiểm toán rồi yên tâm” cơ bản là không nói gì cả.