Последнее время, когда проектные команды публикуют ссылку на GitHub, прикрепляют две версии аудита и говорят «уже обновили мультиподпис», многие новички чувствуют себя спокойно, но я считаю, что стоит еще раз присмотреться к деталям. GitHub — это не только количество звезд, сначала нужно проверить, жив ли там человек: есть ли последние коммиты, есть ли ответы на issue, ключевая логика открыта ли полностью, не ограничиваются ли только фронтендом. Аудит тоже не стоит оценивать только по логотипу на обложке — стоит проверить, есть ли отметки «исправлено/не исправлено», а также учитывается ли в области проверки верификация межцепочечных сообщений. Что касается обновления мультиподписа, по сути, это вопрос о том, кто может управлять: разделены ли подписи, есть ли таймлоки, кому принадлежит право на экстренную остановку… Это как страховка или как ручная граната: хорошо, если надежно, а плохо — если есть лазейка. В последнее время все жалуются на то, что валидаторы используют MEV и неправильно сортируют транзакции, я же стал более осторожен: если правила в цепочке могут быть «оптимизированы», то и права на мосту нужно держать под контролем, лучше медленно на три секунды, чем рисковать одним шансом.