Gần đây khi xem dự án tôi chỉ có ba thứ: GitHub, kiểm toán, nâng cấp đa chữ ký. GitHub đừng chỉ nhìn số sao và số commit, trước tiên xem qua phần release/lịch sử nâng cấp có giải thích “tại sao sửa, ai review” không, rồi xem trong issue có ai đề cập lỗ hổng có bị bỏ qua hay không. Báo cáo kiểm toán cũng đừng bị logo làm choáng, trọng tâm là tìm “phạm vi” và “rủi ro đã biết/Chưa sửa”, có những báo viết rất lịch sự, thực ra là “chúng tôi chưa xem cái này”. Phần đa chữ ký thì rõ ràng hơn: vài người, có công khai danh tính không, có timelock không, có thể nâng cấp chỉ một cú nhấp không; nói thẳng ra là có thể sửa logic giữa đêm, dù có nhiều nhãn dữ liệu trên chuỗi cũng không cứu nổi, gần đây các công cụ đó bị chê là chậm trễ/ dễ gây hiểu lầm, tôi thật sự tin. Dù sao tôi chỉ xem khi bỏ phiếu: ai chịu trách nhiệm khi có chuyện, có thể dừng lại không, tiền chảy về đâu.