看项目靠 GitHub、审计报告、多签升级这套，说白了就是看“会不会半夜把门换了”。我自己给小白的土办法：GitHub别只看星星，去翻提交频率、谁在提 PR、关键改动有没有解释；审计报告别被封面唬住，重点找“未修复/已知风险”和复审有没有跟上；升级多签就更直白了，签名人是谁、几个人能动、有没有 timelock，能不能一键升级到你看不懂的逻辑。合规一收紧/加税的风声一来，出入金情绪会变，链上“异常活跃地址”就容易开始换赛道…我反正宁愿慢点，少碰那种权限太集中的，睡得踏实点。