Я однажды попробовал, будучи новичком, «проверить» проект, который требует обновления контракта и мультиподписей, и обнаружил, что самое спокойное — не смотреть, что он там хвастается, а следить за тем, остались ли следы. Сначала я просмотрел историю коммитов на GitHub: вдруг внезапно появились куча кода, только один человек активно пушит, есть ли в issue кто-то, кто поднимает вопросы безопасности, но никто не отвечает… такие детали очень заметны. Также не стоит ограничиваться только отчетом аудита «пройдено/без серьезных проблем», я смотрю, есть ли четкое исправление для опасных уязвимостей, есть ли повторная проверка после исправлений, в общем, такие «известные, потом разберемся» меня немного пугают. Что касается мультиподписей, тут все проще: разделены ли подписанты, разумен ли порог, есть ли задержки при обновлении/таймлоки, иначе по сути — это «несколько человек одновременно нажимают кнопку», и если что, быстро изменить всё — проще простого. В последнее время аппаратные кошельки тоже раскуплены, фишинговых ссылок полно, я сейчас при любой операции «обновление/подпись» делаю паузу на три секунды, лучше пропустить одну тень, чем ночью обнаружить, что это была моя неосторожность.