Belakangan melihat sebuah protokol yang akan meningkatkan multi-signature, di grup banyak orang bertanya "Apakah ini terpercaya". Saya juga bukan ahli apa-apa, jadi mengikuti kebiasaan detektif dengan memeriksa tiga hal: GitHub, laporan audit, dan bagaimana perubahan multi-signature dilakukan.

Saya tidak memperhatikan jumlah bintang di GitHub, lebih fokus apakah ada orang yang secara jangka panjang memelihara, apakah perubahan penting disertai penjelasan yang layak, dan apakah ada yang menanggapi jika muncul masalah. Saya agak merasa tidak nyaman dengan mereka yang hanya mengumpulkan kode dalam satu rilis besar menjelang versi utama.

Jangan hanya melihat sampul laporan audit yang tertulis "Telah diaudit", saya lebih peduli: apakah masalah berisiko tinggi sudah diperbaiki, metode perbaikan sudah diverifikasi ulang, dan apakah ruang lingkup audit tidak mengecualikan modul yang paling rentan terhadap masalah... Singkatnya, laporan digunakan untuk mencari "apa yang tidak terdeteksi" dan "apakah perbaikan dilakukan dengan setengah-setengah".

Upgrade multi-signature menjadi lebih nyata: siapa yang menandatangani, apakah ada independensi, berapa ambang batasnya, apakah ada timelock dan proses perubahan yang terbuka. Baru-baru ini jembatan lintas rantai juga diserang, orang mulai kembali ke konsep "menunggu konfirmasi", saya sekarang lebih memilih lambat sedikit, setidaknya harus bisa melihat perubahan yang jejaknya bisa dilacak di blockchain, kalau tidak, kita cuma bisa berdoa saja.