Há alguns dias quis experimentar um novo protocolo, pesquisei bastante no GitHub, as contribuições estavam bastante ativas, mas meu tipo de obsessão por segurança ainda faz eu primeiro verificar “quem está mesclando o código”, se há um ou dois mantenedores principais que estão ausentes há muito tempo… Também não basta apenas olhar para a capa do relatório de auditoria, que menciona algumas grandes firmas, na verdade, eu foco na página de conclusões: qual o escopo coberto, se há vulnerabilidades críticas não corrigidas, se as correções estão “confirmadas” ou se “a equipe de desenvolvimento disse que resolveu”. Atualizar a assinatura multi-sig é ainda mais importante, eu verifico o número de assinantes e o limiar, de preferência também se os assinantes são dispersos, se há troca temporária de responsáveis. Uma vez, já aconteceu de uma situação assim, no grupo do projeto estavam pressionando muito, e do lado macro, estavam discutindo expectativa de redução de juros, o dólar e ativos de risco subindo juntos, minha mão também coçou… Mas ao ver que a multi-sig tinha acabado de ser atualizada, e a lista de membros ainda não tinha sido tornada pública, desisti, se não entendo, não mexo, perdi a oportunidade, mas pelo menos evito acordar no meio da noite chorando.