最近空投季又热起来，任务平台反女巫反得跟考勤一样，积分一刷新我都怀疑自己在加班…但越是这种时候越想翻翻“可信度”到底咋看。小白别一上来就被 GitHub 绿点骗了，提交多不等于靠谱，先看是不是长期维护、核心改动有没有几个人来回 review，issues 里有人提漏洞/争议时团队怎么回应，比“更新很勤快”更有用。

审计报告也别当护身符，重点看审计范围写了啥、有没有“我们没看这块/升级不在范围内”的免责声明；再看高危问题有没有修、怎么修的。还有升级多签这事，说白了就是“家里保险柜钥匙在几个人手里”，几把钥匙、是谁、能不能换人、有没有 timelock（给你反应时间）这些比口号重要。反正我现在看到要授权/存钱的，先把这几项扫一眼，心里能踏实点，不然撸着撸着就变成给别人打工了。