Recentemente, voltei a ver muitos projetos que escrevem "já open source/já auditado" como se fosse uma garantia de imunidade, na verdade é só uma estratégia de chamar atenção com uma nova aparência. Para iniciantes, se querem verificar a credibilidade, acho melhor não focar na capa do PDF da auditoria: vá ao GitHub e veja se há atividades contínuas, se há issues com problemas reais, se foram resolvidos, se há registros de atualizações que só aparecem na hora de lançar a moeda ou colocar no ar.

E quanto à questão de permissões de upgrade, isso é mais realista do que o código em si... Quem detém a multi-assinatura, quantas pessoas precisam para aprovar, se é possível alterar o contrato ou retirar fundos unilateralmente, se a descrição é vaga, eu já assumo o pior cenário. Recentemente, ao ver staking, segurança compartilhada, e recompensas acumuladas sendo criticadas por serem "cópias umas das outras", eu também consigo entender: uma camada por cima da outra, no final, tudo depende se a chave de upgrade é confiável ou não. De qualquer forma, agora, ao ver "recompensas acumuladas", primeiro tiro uma captura de tela para guardar, depois vou lentamente verificar permissões e histórico, assim minha impulsividade diminui bastante.