Recentemente, ao analisar projetos, tenho ficado cada vez mais preguiçoso para ouvir narrativas, e volto às três coisas básicas: GitHub, relatórios de auditoria, atualização de múltipla assinatura. Os iniciantes devem ler sobre “confiabilidade”, dizendo de forma simples, primeiro não foque nas estrelas e compartilhamentos, mas sim em verificar se os commits são contínuos, se são feitos pelo mesmo grupo de pessoas a longo prazo, se há aquele tipo de “surpresa” de fazer uma grande quantidade de mudanças na véspera do lançamento; os relatórios de auditoria também não devem ser avaliados apenas pela frase na capa “já auditado”, mas sim verificar a lista de problemas, como eles foram resolvidos, se há explicações de reprodução, se há uma segunda auditoria ou pelo menos commits de correção públicos que correspondam; atualizar a múltipla assinatura é ainda mais importante, quais chaves, quem as possui, se há timelock (que dá tempo para reagir), e se o botão de emergência pode alterar as regras com um clique... entender metade dessas coisas já é mais confiável do que apenas “gritar alto no grupo”.

Nos últimos dias, a discussão sobre limites de privacidade, moedas de mistura e conformidade tem sido bastante acirrada, mas eu me preocupo mais com o seguinte: se a pressão regulatória aumentar, o projeto usará “atualizações de emergência” para te levar a uma versão com a qual você nem concordou. Por hoje é isso, vou dormir.