Tenho estado a mergulhar na conversa há muito tempo, mas não resisti a fazer uma observação: se um novato quer avaliar se um projeto é “confiável ou não”, não se limite a olhar apenas para as capturas de ecrã das páginas do relatório de auditoria. A auditoria só pode dizer “naquela versão do código, provavelmente não há buracos óbvios”, mas se o contrato pode ser atualizado ou não, quem tem a chave para atualizar, é que realmente importa para alguém com a minha experiência de testar projetos.

No GitHub, eu olho para três coisas: se as atualizações são de repente interrompidas e depois retomadas com força, se há uma pilha de cópias e colagens sem explicação, e se as mudanças críticas foram revisadas por alguém. Depois, verifico a multi-assinatura para atualizações: quantas chaves, qual o limite de assinaturas, quem são os signatários (pelo menos não todos anónimos ou contas novas), e se há um atraso na execução, senão, hoje a auditoria passa, amanhã uma atualização pode mudar tudo… De qualquer forma, estou preparado para assumir os riscos.

A propósito, recentemente, quando todos reclamam que os validadores estão a consumir MEV e a ordenar as transações de forma injusta, fico ainda mais interessado em ver “quem consegue mudar as regras”. Em suma: por mais bonito que seja o código, se o poder estiver concentrado nas mãos de poucos, os investidores comuns só podem rezar. É isso por agora.