GateUser-7919e6b9

最近見たプロジェクト「信頼できるかどうか」、私はむしろ最初にGitHubと監査報告書を確認します。わかっているふりをするわけではなく、ちゃんと仕事をやり遂げているかどうかを見たいだけです。要するに初心者も無理にコードを読む必要はなく、チュートリアルはたくさんあります。私は一般的に、更新頻度を監視している人、誰がPRを提案しているか、issueにどう対応しているかを見るだけです——少なくともチームが生きているかどうかはわかります。
監査報告書も絶対に免罪符として考えないでください。重要なのは三つです：リスクが明確に列挙されているかどうか、「修正済み/未修正」の対照があるかどうか、そして監査機関がただスタンプを押すだけで黙っているかどうかです。最も重要なのはマルチシグのアップグレードです：署名者は誰か、何本の鍵でルールを変更できるか、タイムロック（反応時間を与える仕組み）があるかどうかです。さもないと、今日「分散化」と言っても、明日には一つのマルチシグで決定されてしまい、バージョンアップが行われてしまいます。あなたは文句を言う暇もなくなるのです。
ついでに、最近NFTの版税についての議論が激しくなっているのを思い出しました。クリエイターは収入を得たいし、市場には流動性も必要です…でも、もしコントラクトがいつでもアップグレードして分配を変更できるなら、議論してもあまり意味がないとも言えま

昨晚グループチャットでまた「このプロジェクトは本当に信頼できるのか」と喧嘩になっていた、私は口で仲裁しながら黙ってGitHubを開いた…要するに初心者はコードの高度さに急がず、まず「生きている痕跡」があるかを見るべき：最近継続的にコミットしているか、issueに真剣に返信しているか、問題が解決された後に振り返りがあるか、半年以上前の最後の更新で平静を装っていないか。
監査報告書も護身符として扱わず、重点を見るべきは：監査が最新版かどうか、問題が修正されているか、修正後に再確認されているか；最も怖いのは「監査済み」の四文字を免罪符として使い、詳細を見ると「低危険未修復（リスク受容）」…うん、誰のリスクを受け入れているのか理解している。
マルチシグのアップグレードについては、「誰が操作できるか」の方を重視：署名者は分散しているか、タイムロック（反応時間を与えるタイプ）があるか、権限リストは一目で見きれないほど多いか。最近ハードウェアウォレットも品薄で、フィッシングリンクも氾濫している、ハッカーより自分の手の速さを期待しない方がいい…今見たら「ここをクリックしてエアドロップを受け取る」なんて、酒席のミニゲームみたいなもの：誰がクリックしてもおごる。