我现在看新项目“靠不靠谱”，第一眼反而不是推特喊得多响，而是去翻 GitHub 和审计报告…但说实话小白也别硬装懂代码。我的土办法：看仓库是不是长期有人动、issue 有没有人真在讨论，提交记录别全是同一天“突击上线”；审计报告就抓结论和范围，重点看有没有高危、修没修、还有哪些“已知风险先接受”。再就是升级权限，多签几个人、是谁、有没有延时（给你反应时间那种），比“我们会升级”这句空话强多了。

最近 NFT 版税那事吵得凶，也挺像：口头承诺创作者很美，但权限和规则写在链上/合约里才算数，不然流动性一来大家就各扫门前雪…我也就是赶海捡贝壳，看到权限太集中或审计含糊的，反正就撤，再看看