Na noite passada, no grupo, estavam novamente discutindo se este projeto é realmente confiável ou não, eu tentava acalmar a discussão com palavras, enquanto silenciosamente abria o GitHub… para ser claro, os novatos não devem se preocupar em ver o código tão avançado, primeiro ver se há “sinais de vida”: se há commits contínuos recentemente, se alguém responde seriamente nas issues, se há uma revisão após problemas surgirem, não aquele tipo de última atualização há meio ano que finge estar tranquilo.

Relatórios de auditoria também não devem ser usados como amuletos de proteção, o foco deve ser: a auditoria é na versão mais recente, os problemas foram corrigidos, após a correção houve nova verificação; o que mais assusta são aqueles que usam as palavras “auditoria concluída” como uma carta de isenção de responsabilidade, ao abrir os detalhes, tudo é “risco baixo não corrigido (aceitando risco)”… sim, quem aceita o risco, você sabe.

Para a atualização de múltiplas assinaturas, eu dou mais valor a “quem pode agir”: se os signatários estão dispersos, se há um timelock (aquele que dá tempo para reagir), se a lista de permissões é tão longa que não dá para ver de uma só vez. Recentemente, carteiras de hardware estão esgotadas, links de phishing estão por toda parte, não espere que sua velocidade seja maior que a do hacker… agora, quando vejo “clique aqui para receber airdrop”, já considero um joguinho de baralho: quem clicar, paga a rodada.