Recentemente, ao verificar a atualização de um protocolo para multi-assinatura, muitas pessoas no grupo perguntaram "é confiável?". Eu também não sou um especialista, então sigo o hábito de detetive de verificar três coisas: GitHub, relatório de auditoria e como a mudança na multi-assinatura foi feita.

No GitHub, não olho para o número de estrelas, principalmente verifico se há manutenção contínua, se as mudanças importantes têm explicações decentes, e se há alguém respondendo em caso de problemas. Aquele tipo de projeto que só faz uma grande atualização de uma só vez, acumulando muitas mudanças de uma só vez, me deixa um pouco desconfiado.

Nos relatórios de auditoria, também não basta ver a capa com "auditado", eu me preocupo mais com: se problemas de alto risco foram realmente resolvidos, se as soluções foram validadas por uma segunda verificação, e se o escopo da auditoria excluiu os módulos mais propensos a falhas... Em resumo, o relatório serve para identificar o que não foi detectado e se as correções foram feitas de forma superficial.

A atualização de multi-assinatura fica ainda mais prática: quem são os signatários, se há independência entre eles, qual é o nível de exigência, se há timelock e um processo de mudança público. Recentemente, as pontes cross-chain foram novamente alvo de roubos, e as pessoas voltaram a confiar na ideia de "esperar confirmação". Agora, prefiro ser mais cauteloso, pelo menos quero ver que as mudanças na cadeia são rastreáveis, senão só posso rezar.