Gần đây xem một số giao thức cần nâng cấp đa chữ ký, trong nhóm có nhiều người hỏi “Có đáng tin không”. Tôi cũng không phải chuyên gia gì, chỉ theo thói quen điều tra ba thứ: GitHub, báo cáo kiểm toán, và cách thay đổi đa chữ ký.

Tôi không xem số sao trên GitHub, chủ yếu xem có ai duy trì lâu dài không, các thay đổi quan trọng có rõ ràng không, có ai phản hồi khi có vấn đề không. Những dự án chỉ cập nhật một lần lớn khi chuẩn bị ra phiên bản mới, tôi sẽ cảm thấy không yên tâm.

Báo cáo kiểm toán cũng đừng chỉ nhìn bìa “đã kiểm toán”, tôi quan tâm hơn: các vấn đề nguy hiểm có được sửa không, cách sửa có qua kiểm tra lại không, phạm vi kiểm toán có loại bỏ các module dễ gặp rắc rối không… Nói thẳng ra, báo cáo là để tìm “chưa kiểm tra kỹ” và “có làm qua loa không”.

Việc nâng cấp đa chữ ký còn thực tế hơn: ai là người ký, có độc lập không, mức ngưỡng là bao nhiêu, có khóa thời gian và quy trình thay đổi công khai không. Gần đây cầu nối chuỗi bị hack, mọi người lại bắt đầu “chờ xác nhận” theo kiểu đồng thuận đó, tôi bây giờ thà chậm một chút, ít nhất phải thấy được thay đổi có thể theo dõi trên chuỗi, chứ không thì chỉ còn biết cầu nguyện.