Recentemente, ao ver os projetos que lançam uma pilha de links do GitHub + relatórios de auditoria + “atualização controlada por multiassinatura”, os novatos ficam mais tranquilos, mas na verdade essas três coisas também podem ser encenadas. Meu método burro: primeiro verificar se o GitHub está “ativo”, frequência de commits, se há alguém respondendo às issues, se as mudanças importantes são inseridas de forma temporária; não olhe só a capa do relatório de auditoria, leia as conclusões e o escopo, muitas vezes eles apenas revisam uma pequena parte, a lógica de atualização não está incluída; quanto à multiassinatura, nem ouça “algumas assinaturas são seguras”, é preciso verificar quem assina, se é público, se há timelock/atraso, se é possível fazer uma atualização com um clique mudando as regras. Recentemente, o incentivo na testnet e o sistema de pontos voltaram a ficar populares, todo mundo especula se a mainnet vai lançar tokens… Eu, na verdade, quero entender primeiro: se eles mudarem o contrato, quanto tempo tenho para reagir. De qualquer forma, considero o simples uma armadilha, uma frase como “tudo foi auditado, pode confiar” basicamente equivale a nada.