Últimamente, al revisar un protocolo que va a actualizar la multi-firma, en el grupo hay mucha gente preguntando "¿Es confiable?". Yo tampoco soy un experto, así que sigo mi hábito de detective y reviso tres cosas: GitHub, informe de auditoría y cómo se modifica la multi-firma.

En GitHub no miro la cantidad de estrellas, principalmente reviso si las contribuciones son mantenidas a largo plazo, si los cambios importantes tienen una explicación decente, y si hay respuestas cuando surge un problema. Me da un poco de miedo ese tipo de cambios que solo aparecen en una gran versión y de golpe suben un montón de código.

El informe de auditoría tampoco solo mira la portada con "ya auditado", me importa más: si los problemas de alto riesgo fueron realmente corregidos, si las soluciones tienen una segunda verificación, y si el alcance de la auditoría excluyó los módulos más propensos a fallar... En pocas palabras, el informe sirve para encontrar "qué no cubrieron" y si las correcciones son superficiales o no.

La actualización de la multi-firma es aún más concreta: quiénes son los firmantes, si tienen independencia, cuántos son necesarios, si hay timelock y un proceso de cambios público. Recientemente, los puentes cross-chain han sido hackeados otra vez, y la gente vuelve a confiar en esa idea de "esperar confirmación". Ahora prefiero ir más despacio, al menos quiero ver que los cambios en la cadena son rastreables, porque si no, solo queda rezar.