Последнее время я смотрю, как проекты хвастаются «уже прошли аудит + скоро обновление мультиподписей», я обычно сначала захожу на GitHub, не пытаясь понять код, а просто проверяю, активны ли коммиты: есть ли постоянные обновления, есть ли реальные вопросы в issue, PR не является просто набором пустых слияний. Затем, отчет об аудите тоже не стоит смотреть только на обложку с логотипом, лучше пролистать страницу «Известные риски/Несовместимые пункты», там самая честная информация, и важно, совпадает ли версия контракта с текущей. Что касается мультиподписей, я обращаю внимание на три вещи: разделены ли подписанты, нужно ли менять пороговое значение и есть ли таймлок, а также есть ли «задний ход» для быстрого обновления прав. В последнее время, когда речь заходит о стейкинге/совместном использовании безопасности, и когда доходность накладывается друг на друга, их тоже ругают за шаблонность, на самом деле всё то же самое: доверие строится не на рассказах, а на цепочке полномочий. В любом случае, я привык сначала делать скриншоты… чтобы потом, если что, было с чем спорить и возвращаться к старым делам.