Belakangan ada teman bertanya kepada saya: GitHub, laporan audit, upgrade multi-signature apa yang harus diperhatikan agar dianggap "tepercaya". Jelasnya, jangan berharap bisa melihat kebenaran dalam satu pandangan, saya biasanya hanya fokus pada beberapa poin yang sangat dasar.

Pertama lihat GitHub: Apakah ada orang yang secara permanen mengerjakan dan mengubahnya, apakah versi di chain cocok dengan yang ada di sana, apakah ada sensasi "sebelum peluncuran langsung ubah besar-besaran sekaligus". Laporan audit juga jangan terlalu percaya pada logo besar, fokus pada daftar masalah apakah sudah memperbaiki risiko tinggi, dan apakah penjelasan tentang cara memperbaikinya sudah jelas, yang paling ditakuti adalah yang hanya menyebut "risiko diketahui, sudah diterima" tanpa penjelasan. Upgrade multi-signature lebih realistis: siapa yang menandatangani, berapa jumlahnya, apakah ada timelock (untuk memberi waktu reaksi), dan apakah hak aksesnya terlalu besar sehingga bisa langsung mengubah aturan.

Belakangan, regulasi kadang mengendur dan kadang mengencang lagi, sehingga ekspektasi masuk dan keluar dana berubah, dan tim proyek lebih mudah menggunakan "upgrade darurat" sebagai alasan. Pokoknya, kalau saya melihat kata "darurat" langsung berhati-hati, periksa lagi hak akses dan prosesnya.