Recentemente, ao avaliar o projeto "Confiável ou Não Confiável", eu primeiro verifico o GitHub e os relatórios de auditoria, não é para parecer que entendo tudo, mas para ver se eles realmente fizeram o trabalho direito. Em resumo, até mesmo um iniciante não precisa mergulhar no código, há muitos tutoriais; geralmente, eu só olho para aqueles que ensinam a observar a frequência de atualizações, quem está enviando PRs, como respondem às issues — pelo menos assim dá para perceber se a equipe está ativa.

Os relatórios de auditoria também não devem ser considerados uma garantia definitiva, o foco deve estar em três pontos: se há riscos claramente listados, se há uma comparação entre "já corrigido/não corrigido", e se a instituição de auditoria apenas carimba sem emitir opiniões. O mais importante ainda é a atualização do multi-assinatura: quem são os signatários, quantas chaves podem alterar as regras, e se há um timelock (aquele que dá tempo para reagir). Caso contrário, hoje dizem que é descentralizado, amanhã uma assinatura múltipla é feita de repente, a versão é lançada, e você nem consegue reclamar.

Aproveitando, lembrei que recentemente as taxas de royalties de NFTs estão causando alvoroço, criadores querem receita, o mercado quer liquidez… Mas se o contrato ainda puder ser atualizado a qualquer momento para alterar a distribuição, toda a discussão fica meio vazia. De qualquer forma, ao avaliar um projeto agora, primeiro vejo "quem pode fazer mudanças", e se alguém me avisou antes de fazer alterações. É isso por enquanto.