看项目“可信度”我一般先扫三样：GitHub、审计报告、升级多签。GitHub别光看星星和commit数量，重点是最近有没有认真修问题、PR 讨论是不是正常人类交流，关键改动有没有解释，不然一堆“refactor”看得人心里发虚。审计报告也别迷信logo，先找“未修复/已知风险”那页，尤其是权限相关、价格源、清算边界这种，修了没、怎么修的，能不能在代码里对得上。

升级多签这块小白最容易忽略：谁能改合约、改参数、动资金？几个签？签名人是不是一堆同一拨人？有没有 timelock（给大家反应时间那种）？说白了，能一键升级的“安全”很多时候只是运气好。最近大家聊降息预期、美元指数带着风险资产一起晃，我反而更在意这种“非市场风险”，市场跌了还能扛，权限踩雷真是连解释都来不及。先这样，宁愿慢一点。