Ao avaliar se um projeto é "confiável ou não confiável", geralmente não começo pelo PPT, primeiro verifico o GitHub e a auditoria. O GitHub não é sobre quantas estrelas tem (isso também pode ser manipulado), mas sim: o repositório principal é constantemente revisado, há alguém discutindo seriamente nas issues, e os PRs de atualização explicam "por que essa mudança foi feita". Quanto ao relatório de auditoria, não se deixe enganar pelo logo, o mais importante é verificar se os problemas encontrados têm registros claros de correção, especialmente na área de "permissões/atualizações".

A atualização com múltiplas assinaturas é ainda mais importante: várias chaves, quem as possui, se há um timelock que retarda a ativação, se é possível pausar emergencialmente, mas sem permitir mudanças arbitrárias na lógica. Em resumo, quanto menos pessoas puderem alterar o código, mais transparente for o processo, mais tranquilo será. Recentemente, a discussão sobre privacidade e mixers em tokens de privacidade está fervendo por questões de conformidade, mas na prática é o mesmo: coisas com fronteiras pouco claras, no final, dependem de permissões e processos para garantir a segurança.

Vou primeiro limpar as autorizações de alguns contratos antigos, para que, se houver uma atualização, eu não esteja sonhando acordado.