Recentemente, ao ver os projetos de ponte, os responsáveis enviam links do GitHub, colocam duas versões de auditoria e dizem "já atualizamos com multi-assinatura", e muitos novatos ficam tranquilos, mas acho que ainda é preciso dar uma olhada mais detalhada. O GitHub não é só para ver quantas estrelas tem, primeiro ver se é mantido por pessoas reais: se há commits recentes, se há alguém respondendo às issues, se a lógica principal está aberta, não basta só abrir o front-end. A auditoria também não deve ser avaliada apenas pelo logo na capa, é preciso verificar se há "corrigido/não corrigido", e se o escopo inclui a verificação de mensagens cross-chain. Quanto à atualização com multi-assinatura, na prática, é quem pode agir: os signatários são dispersos, há um timelock, quem tem o poder de pausar emergencialmente... Essas coisas parecem um seguro ou uma granada, bem implementadas são uma garantia, mal feitas podem abrir uma porta dos fundos. Recentemente, as pessoas reclamam que os validadores consomem MEV e que a ordenação é injusta, mas eu fico mais cauteloso: se as regras na cadeia podem ser "otimizadas", então os privilégios da ponte precisam ser mais controlados, melhor perder três segundos do que arriscar uma falha.