Últimamente, al ver que los proyectos comparten enlaces de GitHub, informes de auditoría y además añaden una imagen de "la actualización de múltiples firmas es muy segura", mi primera reacción no es si debo confiar o no, sino preguntarme: ¿hasta qué punto pueden estas cosas ayudar a los novatos a juzgar la credibilidad? En realidad, GitHub no se trata solo de mirar las estrellas, sino de revisar más a fondo los registros de commits, si hay mantenimiento a largo plazo, si los cambios en los contratos clave tienen explicaciones correspondientes; los informes de auditoría tampoco deben limitarse a la página de conclusiones, primero busca las secciones de "riesgos no reparados/aceptados", muchas trampas están allí. Lo mismo con las firmas múltiples, no siempre entenderás quién firma, pero al menos revisa el umbral, si se puede actualizar en cualquier momento, si hay un timelock... Necesito que me recuerden: no se dejen engañar por la palabra "transparente", la transparencia no equivale a no poder hacer mal, solo que es más fácil ser atrapado. Por cierto, últimamente, en el tema de minería social, tokens de fans y esa idea de "la atención es minería", cada vez más parece que empaquetan ruido como indicadores, y en la cadena hay menos evidencia. Por ahora, así lo dejo, aprendiendo lentamente a desconfiar.