Recentemente, ao ver projetos que dizem "auditado + próxima atualização de multiassinatura", geralmente começo por verificar o GitHub, sem tentar entender o código, primeiro verifico se os commits estão ativos: se há atualizações contínuas, se há alguém realmente fazendo perguntas nas issues, se os PRs não são apenas uma pilha de merges vazios. Depois, o relatório de auditoria também não deve ser avaliado apenas pela capa com o logotipo, ao folhear as páginas de "Riscos conhecidos / Itens não corrigidos" que são as mais honestas, também é importante verificar se corresponde à versão atual do contrato. Para multiassinatura, eu foco em três coisas: se os signatários estão dispersos, se a mudança do limiar requer um timelock, se há uma porta dos fundos que permite uma atualização com um clique em permissões de emergência. Recentemente, a onda de staking/compartilhamento de segurança com ganhos acumulados foi criticada por parecer uma cópia, na verdade é o mesmo método: a credibilidade não vem de histórias, mas de verificar a cadeia de permissões. De qualquer forma, estou acostumado a tirar screenshots para guardar… assim, se houver discussões futuras, posso consultar registros antigos.