最近有朋友问我：GitHub、审计报告、升级多签到底看啥才算“可信”。说白了别指望一眼看出真相，我一般就抓几个很土的点。

先看 GitHub：是不是长期有人动、改的东西是不是跟链上版本对得上，有没有那种“临上线前一口气大改一堆”的紧张感。审计报告也别迷信大牌 logo，重点看问题列表有没有把高危修掉、修复方式有没有解释清楚，最怕那种“已知风险，已接受”一笔带过。升级多签更现实：签名人是谁、多少个、有没有 timelock（给你反应时间），权限是不是大到能直接改规则。

最近合规一会儿收紧一会儿放松，大家出入金预期一变，项目方更容易用“紧急升级”当借口。反正我现在看到“紧急”俩字就先慢下来，多看两眼权限和流程。