最近看項目“可信不可信”，我反而先不盯 APY 了，先翻 GitHub、審計報告、還有升級多簽這些。小白也別被嚇到，说白了就抓几个点：GitHub 是不是長期有人在維護（別那種半年不動、突然一口氣更新一堆的），審計報告有沒有寫清楚風險和已修復/未修復（只貼個 logo 的我直接減分），升級權限是不是多簽、簽名人是誰、有没有 timelock，起碼給你個反應時間。

最近硬體錢包都斷貨了，釣魚鏈接又特別多，大家安全意識是上來了，但資訊也真的太多，看得人有點焦慮…我現在的過濾方式很土：先看“權限結構+升級路徑”，過不了這關的，後面社區多熱鬧我都先放一邊，慢慢來，反正複利這事也不靠一晚上衝動。