Eu, como colecionador de poeira, o que mais temo não é não ganhar dinheiro, mas acabar pegando um monte de projetos que parecem muito estáveis e no final acabam sendo uma bagunça… por isso agora não confio facilmente na credibilidade. No GitHub, olho três coisas: se alguém realmente está mantendo (não há seis meses sem movimento), se as mudanças têm explicação (não só uma pilha de “atualizações” para enganar), se o código principal foi alterado de forma repentina sem explicação. Os relatórios de auditoria também não são uma carta de salvação, folheio duas páginas para ver o escopo do que foi escrito, se há riscos altos não resolvidos e se foi lançado mesmo assim. Atualizações de multiassinatura são ainda mais importantes: quem assina, quantas pessoas, se há timelock, pelo menos não deixar uma pessoa com uma chave para alterar o protocolo. Recentemente, as pontes foram roubadas, ouacles estão instáveis, e todo mundo fica na “espera por confirmação”, ou seja, não se apresse, primeiro veja como eles vão consertar, como vão reforçar as permissões… de qualquer forma, prefiro pegar devagar e evitar armadilha.