Я такой коллекционер пыли, боюсь не заработать, а наткнуться на кучу «выглядящих очень надежными» проектов, которые в итоге превращаются в полную катастрофу… поэтому сейчас я не верю на слово в их надежность. Я смотрю на GitHub всего по трём критериям: есть ли там кто-то действительно занимается поддержкой (не полгода тишина), есть ли объяснения к изменениям (не просто куча «update» для вида), и не внезапно ли кардинально изменили основной код без объяснений. Также не стоит считать аудиторские отчёты абсолютной гарантией: пролистайте пару страниц, посмотрите, что там по области охвата, есть ли незавершённые критические уязвимости, которые всё равно запустили. Обновление мультиподписей ещё важнее: кто подписывает, сколько человек, есть ли таймлок, чтобы хотя бы один человек с ключом не мог изменить протокол в одиночку. В последнее время мосты снова взламывают, или оракулы ведут себя странно — все ждут «подтверждения», по сути, не стоит торопиться, сначала посмотрите, как они исправляют уязвимости и ужесточают контроль доступа… В любом случае, я предпочитаю медленно собирать, чем наткнуться на мину.