最近看项目更新，发现很多小白（也包括我以前）一听“已审计”“GitHub开源”就觉得稳了，其实得拆开看。GitHub我会先瞄三件事：最近一次有意义的提交是不是人干的、关键合约改动有没有对应的讨论/PR、发版tag和链上部署是不是对得上…不然开源也可能只是“摆着”。

审计报告也别只看封面logo，翻结论页：范围覆盖了哪些合约、有没有“未审计升级代理/多签权限”的备注、遗留问题是“已修复”还是“接受风险”。升级多签就更直白：几把钥匙、是谁、有没有timelock和紧急暂停，权限大到能直接改逻辑的那种我会默认高风险。

最近大家聊降息预期、美元指数，风险资产一会儿同涨一会儿同跌…越是这种情绪来回拉扯的时候，我反而更想把“谁能改代码”这事看清楚。下次我准备把常见的升级/多签权限画成一张小草图方便对照，你们一般先看哪一项来判断可信度？