最近空投季又热起来，任务平台一边反女巫一边搞积分制，撸毛党卷得像上班…我反而更怕自己把钱包交出去。小白看项目“可信不可信”，我现在就盯三样：GitHub别只看星星，去翻提交记录和issue，有没有人真在修bug、讨论得像样；审计报告别只截图logo，看看范围写没写清、有没有已知问题“待修复”，以及修复后有没有复审；升级权限这块最关键，多签是谁、几把钥匙、有没有延迟/公开公告，最好还能看到签名地址历史。反正我宁愿错过几次空投，也不想为了一点积分把权限开太大。我学到的不是技巧，而是先把“谁能动你的钱”这件事搞明白。