Gần đây xem dự án phát hành liên kết GitHub, báo cáo kiểm toán, rồi thêm một bức tranh “nâng cấp đa chữ ký rất an toàn”, phản ứng đầu tiên của tôi không phải là tin hay không, mà là tự hỏi: Những thứ này thực sự giúp người mới đánh giá độ tin cậy bao nhiêu? Nói thẳng ra, GitHub không phải chỉ xem sao, mà còn phải xem kỹ hơn các lần gửi commit, có người duy trì lâu dài không, các thay đổi quan trọng của hợp đồng có giải thích rõ ràng không; báo cáo kiểm toán cũng đừng chỉ xem trang kết luận, hãy tìm những đoạn “chưa sửa/đã chấp nhận rủi ro”, rất nhiều rủi ro nằm ở đó. Đa chữ ký cũng vậy, người ký không nhất thiết phải hiểu rõ, nhưng ít nhất xem xét ngưỡng, có thể nâng cấp bất cứ lúc nào không, có timelock không… Tôi cần nhắc nhở bản thân: đừng bị “minh bạch” làm mê hoặc, minh bạch không đồng nghĩa là không thể làm điều xấu, chỉ là dễ bị bắt quả tang hơn. Nhân tiện, gần đây các kiểu khai thác xã hội, token fan hâm mộ kiểu “chú ý là khai thác”, tôi càng xem càng thấy giống như đang đóng gói tiếng ồn thành chỉ số, chứng cứ trên chuỗi lại ít hơn. Cứ vậy đi, từ từ học cách hoài nghi.