最近看项目我反而先翻 GitHub 和审计报告，不是装懂，是想摸清「他们到底怎么改代码」。

GitHub 看啥？更新频率别太演、关键改动有没有解释、issue 里有没有人提安全问题然后被认真回。
审计报告也别只看封面 logo，直接搜“critical/high”，再看修没修、怎么修的，拖着不动那种我就先放一边。
升级多签也很关键，说白了就是谁能动协议的方向盘：几个人签、签的人是不是分散、有没有 timelock（给你反应时间），这些比“社区很热闹”实在。

这阵子硬件钱包都断货了，钓鱼链接又满天飞，搞得我现在看到空投/白名单就本能先退一步…反正地址多核对两遍，别嫌麻烦。

我更信数据一点点，直觉容易被氛围带跑，数据至少能复盘自己错哪。先这样。